xmrig | 7e0aa0e8caa2213d908114521d9053bd9f703734f426cd73bfbdaf9f4bd57ff2

Analysis

max time kernel
150s
max time network
153s
platform
windows10-2004_x64
resource
win10v2004-20240611-en
resource tags

arch:x64arch:x86image:win10v2004-20240611-enlocale:en-usos:windows10-2004-x64system
submitted
13-06-2024 22:34

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
Size

1.8MB
MD5

8c94d8c8de8e8ebe710f6c6c07b5e000
SHA1

15c7ea10ca95b9af2b674f4dbc1a48c639e359f2
SHA256

7e0aa0e8caa2213d908114521d9053bd9f703734f426cd73bfbdaf9f4bd57ff2
SHA512

4652fe1cb6a07dba08f805b4cfdf58acf010105b2d8f2fe93890306692988fe4ac6a879004eba09527ef27f0a06960f5dec717645bfe459514b8418360497993
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlOqzJO0Ropm6eTxC1UyRWtb0dfM4+F+OJ9WYYR2VfJ:knw9oUUEEDlOuJzyR7pO3ebrxiao

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

Processes:

resource	yara_rule
behavioral2/memory/940-37-0x00007FF7FE840000-0x00007FF7FEC31000-memory.dmp	xmrig
behavioral2/memory/3928-300-0x00007FF76AF00000-0x00007FF76B2F1000-memory.dmp	xmrig
behavioral2/memory/3076-309-0x00007FF67D640000-0x00007FF67DA31000-memory.dmp	xmrig
behavioral2/memory/1528-311-0x00007FF609EC0000-0x00007FF60A2B1000-memory.dmp	xmrig
behavioral2/memory/3812-315-0x00007FF676840000-0x00007FF676C31000-memory.dmp	xmrig
behavioral2/memory/4896-316-0x00007FF723E40000-0x00007FF724231000-memory.dmp	xmrig
behavioral2/memory/3568-320-0x00007FF6BFF60000-0x00007FF6C0351000-memory.dmp	xmrig
behavioral2/memory/4964-319-0x00007FF61EC00000-0x00007FF61EFF1000-memory.dmp	xmrig
behavioral2/memory/4700-298-0x00007FF667EF0000-0x00007FF6682E1000-memory.dmp	xmrig
behavioral2/memory/4688-324-0x00007FF6C3280000-0x00007FF6C3671000-memory.dmp	xmrig
behavioral2/memory/836-334-0x00007FF6D49D0000-0x00007FF6D4DC1000-memory.dmp	xmrig
behavioral2/memory/3296-337-0x00007FF738540000-0x00007FF738931000-memory.dmp	xmrig
behavioral2/memory/4516-349-0x00007FF68E320000-0x00007FF68E711000-memory.dmp	xmrig
behavioral2/memory/8-356-0x00007FF696800000-0x00007FF696BF1000-memory.dmp	xmrig
behavioral2/memory/3560-359-0x00007FF6E4040000-0x00007FF6E4431000-memory.dmp	xmrig
behavioral2/memory/4760-353-0x00007FF75C7E0000-0x00007FF75CBD1000-memory.dmp	xmrig
behavioral2/memory/3240-346-0x00007FF7E0EA0000-0x00007FF7E1291000-memory.dmp	xmrig
behavioral2/memory/5072-339-0x00007FF79E720000-0x00007FF79EB11000-memory.dmp	xmrig
behavioral2/memory/3104-39-0x00007FF7A9740000-0x00007FF7A9B31000-memory.dmp	xmrig
behavioral2/memory/4456-856-0x00007FF775890000-0x00007FF775C81000-memory.dmp	xmrig
behavioral2/memory/2932-1700-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp	xmrig
behavioral2/memory/2044-1699-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp	xmrig
behavioral2/memory/3040-1702-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp	xmrig
behavioral2/memory/964-2002-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp	xmrig
behavioral2/memory/4456-2026-0x00007FF775890000-0x00007FF775C81000-memory.dmp	xmrig
behavioral2/memory/2044-2043-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp	xmrig
behavioral2/memory/2932-2045-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp	xmrig
behavioral2/memory/3040-2047-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp	xmrig
behavioral2/memory/2324-2049-0x00007FF7378F0000-0x00007FF737CE1000-memory.dmp	xmrig
behavioral2/memory/940-2053-0x00007FF7FE840000-0x00007FF7FEC31000-memory.dmp	xmrig
behavioral2/memory/3104-2051-0x00007FF7A9740000-0x00007FF7A9B31000-memory.dmp	xmrig
behavioral2/memory/3560-2055-0x00007FF6E4040000-0x00007FF6E4431000-memory.dmp	xmrig
behavioral2/memory/964-2057-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp	xmrig
behavioral2/memory/3928-2061-0x00007FF76AF00000-0x00007FF76B2F1000-memory.dmp	xmrig
behavioral2/memory/4700-2059-0x00007FF667EF0000-0x00007FF6682E1000-memory.dmp	xmrig
behavioral2/memory/1528-2065-0x00007FF609EC0000-0x00007FF60A2B1000-memory.dmp	xmrig
behavioral2/memory/3076-2063-0x00007FF67D640000-0x00007FF67DA31000-memory.dmp	xmrig
behavioral2/memory/3812-2067-0x00007FF676840000-0x00007FF676C31000-memory.dmp	xmrig
behavioral2/memory/3568-2069-0x00007FF6BFF60000-0x00007FF6C0351000-memory.dmp	xmrig
behavioral2/memory/4964-2073-0x00007FF61EC00000-0x00007FF61EFF1000-memory.dmp	xmrig
behavioral2/memory/4896-2071-0x00007FF723E40000-0x00007FF724231000-memory.dmp	xmrig
behavioral2/memory/4688-2075-0x00007FF6C3280000-0x00007FF6C3671000-memory.dmp	xmrig
behavioral2/memory/8-2079-0x00007FF696800000-0x00007FF696BF1000-memory.dmp	xmrig
behavioral2/memory/5072-2088-0x00007FF79E720000-0x00007FF79EB11000-memory.dmp	xmrig
behavioral2/memory/4516-2090-0x00007FF68E320000-0x00007FF68E711000-memory.dmp	xmrig
behavioral2/memory/3296-2083-0x00007FF738540000-0x00007FF738931000-memory.dmp	xmrig
behavioral2/memory/4760-2081-0x00007FF75C7E0000-0x00007FF75CBD1000-memory.dmp	xmrig
behavioral2/memory/3240-2086-0x00007FF7E0EA0000-0x00007FF7E1291000-memory.dmp	xmrig
behavioral2/memory/836-2077-0x00007FF6D49D0000-0x00007FF6D4DC1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

Processes:

PkKxhzM.exedIKtXob.exeKVabpBF.exesFFbiNq.exeZQRgGHt.exeZCNSLEk.exeasqCXRw.exeZzaXSSP.exeaEgmXJc.exemKWQnvw.exeFZbXGSy.exexdYCXan.exekLFlSJm.exeaGqtMcD.exeDxPyTma.exeuuElSVH.exeFjFMEqL.exeMtwbbkR.exeJiaLQrm.exernKqaCN.exeyeBLRsR.exeknzaYuy.exedwJOWCH.exekdOBQsM.exeZEymbSE.exeNUyYUOT.exeOuHkljn.exeDyofAXx.exeHzKzBQf.exeqtjgblN.exekAVqEau.exeLAoVYOs.exeqmwPLYq.exebAeqfIM.exewrtRVPW.exeLcLbxpT.exeQkFJgzU.exeXzmxYZC.exezgcZKds.exeVlwczMz.exemSnGGNS.exeYcTdhMd.exehLSutnl.exeFoGEXSw.exeHfcOKUy.exekCbQSGB.exerkftFed.exeBxLXLru.exezWyYvIV.exewQRvnac.exeaQiIVEK.exetOBpvrY.exeNHFjbvB.exeMavfLzY.exedczxzUn.exeOXxhxsB.exeulPBFGe.exeQfWpxmg.exeaAhOSPv.execmAgMQO.exeLbhvGKF.exeXlrQadV.exeeMYYDWd.exeHpXbRgp.exe

pid	process
2044	PkKxhzM.exe
2932	dIKtXob.exe
3040	KVabpBF.exe
2324	sFFbiNq.exe
940	ZQRgGHt.exe
3104	ZCNSLEk.exe
964	asqCXRw.exe
3560	ZzaXSSP.exe
4700	aEgmXJc.exe
3928	mKWQnvw.exe
3076	FZbXGSy.exe
1528	xdYCXan.exe
3812	kLFlSJm.exe
4896	aGqtMcD.exe
4964	DxPyTma.exe
3568	uuElSVH.exe
4688	FjFMEqL.exe
836	MtwbbkR.exe
3296	JiaLQrm.exe
5072	rnKqaCN.exe
3240	yeBLRsR.exe
4516	knzaYuy.exe
4760	dwJOWCH.exe
8	kdOBQsM.exe
4024	ZEymbSE.exe
3256	NUyYUOT.exe
2332	OuHkljn.exe
4576	DyofAXx.exe
1788	HzKzBQf.exe
932	qtjgblN.exe
2428	kAVqEau.exe
5080	LAoVYOs.exe
4868	qmwPLYq.exe
1672	bAeqfIM.exe
2560	wrtRVPW.exe
1364	LcLbxpT.exe
808	QkFJgzU.exe
2360	XzmxYZC.exe
960	zgcZKds.exe
3692	VlwczMz.exe
3740	mSnGGNS.exe
2896	YcTdhMd.exe
3124	hLSutnl.exe
4164	FoGEXSw.exe
1292	HfcOKUy.exe
4816	kCbQSGB.exe
2084	rkftFed.exe
852	BxLXLru.exe
4316	zWyYvIV.exe
1540	wQRvnac.exe
3828	aQiIVEK.exe
424	tOBpvrY.exe
4852	NHFjbvB.exe
4088	MavfLzY.exe
4932	dczxzUn.exe
1368	OXxhxsB.exe
3408	ulPBFGe.exe
1956	QfWpxmg.exe
2564	aAhOSPv.exe
2176	cmAgMQO.exe
4956	LbhvGKF.exe
1648	XlrQadV.exe
1488	eMYYDWd.exe
1460	HpXbRgp.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/4456-0-0x00007FF775890000-0x00007FF775C81000-memory.dmp	upx
C:\Windows\System32\PkKxhzM.exe	upx
behavioral2/memory/2044-8-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp	upx
C:\Windows\System32\dIKtXob.exe	upx
C:\Windows\System32\sFFbiNq.exe	upx
C:\Windows\System32\ZQRgGHt.exe	upx
C:\Windows\System32\KVabpBF.exe	upx
behavioral2/memory/2324-28-0x00007FF7378F0000-0x00007FF737CE1000-memory.dmp	upx
C:\Windows\System32\ZCNSLEk.exe	upx
behavioral2/memory/940-37-0x00007FF7FE840000-0x00007FF7FEC31000-memory.dmp	upx
C:\Windows\System32\asqCXRw.exe	upx
C:\Windows\System32\aEgmXJc.exe	upx
C:\Windows\System32\aGqtMcD.exe	upx
C:\Windows\System32\FjFMEqL.exe	upx
C:\Windows\System32\JiaLQrm.exe	upx
C:\Windows\System32\rnKqaCN.exe	upx
C:\Windows\System32\yeBLRsR.exe	upx
C:\Windows\System32\dwJOWCH.exe	upx
C:\Windows\System32\kdOBQsM.exe	upx
C:\Windows\System32\NUyYUOT.exe	upx
C:\Windows\System32\HzKzBQf.exe	upx
C:\Windows\System32\kAVqEau.exe	upx
behavioral2/memory/3928-300-0x00007FF76AF00000-0x00007FF76B2F1000-memory.dmp	upx
behavioral2/memory/3076-309-0x00007FF67D640000-0x00007FF67DA31000-memory.dmp	upx
behavioral2/memory/1528-311-0x00007FF609EC0000-0x00007FF60A2B1000-memory.dmp	upx
behavioral2/memory/3812-315-0x00007FF676840000-0x00007FF676C31000-memory.dmp	upx
behavioral2/memory/4896-316-0x00007FF723E40000-0x00007FF724231000-memory.dmp	upx
behavioral2/memory/3568-320-0x00007FF6BFF60000-0x00007FF6C0351000-memory.dmp	upx
behavioral2/memory/4964-319-0x00007FF61EC00000-0x00007FF61EFF1000-memory.dmp	upx
behavioral2/memory/4700-298-0x00007FF667EF0000-0x00007FF6682E1000-memory.dmp	upx
behavioral2/memory/964-296-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp	upx
behavioral2/memory/4688-324-0x00007FF6C3280000-0x00007FF6C3671000-memory.dmp	upx
behavioral2/memory/836-334-0x00007FF6D49D0000-0x00007FF6D4DC1000-memory.dmp	upx
behavioral2/memory/3296-337-0x00007FF738540000-0x00007FF738931000-memory.dmp	upx
behavioral2/memory/4516-349-0x00007FF68E320000-0x00007FF68E711000-memory.dmp	upx
behavioral2/memory/8-356-0x00007FF696800000-0x00007FF696BF1000-memory.dmp	upx
behavioral2/memory/3560-359-0x00007FF6E4040000-0x00007FF6E4431000-memory.dmp	upx
behavioral2/memory/4760-353-0x00007FF75C7E0000-0x00007FF75CBD1000-memory.dmp	upx
behavioral2/memory/3240-346-0x00007FF7E0EA0000-0x00007FF7E1291000-memory.dmp	upx
behavioral2/memory/5072-339-0x00007FF79E720000-0x00007FF79EB11000-memory.dmp	upx
C:\Windows\System32\LAoVYOs.exe	upx
C:\Windows\System32\qtjgblN.exe	upx
C:\Windows\System32\DyofAXx.exe	upx
C:\Windows\System32\OuHkljn.exe	upx
C:\Windows\System32\ZEymbSE.exe	upx
C:\Windows\System32\knzaYuy.exe	upx
C:\Windows\System32\MtwbbkR.exe	upx
C:\Windows\System32\uuElSVH.exe	upx
C:\Windows\System32\DxPyTma.exe	upx
C:\Windows\System32\kLFlSJm.exe	upx
C:\Windows\System32\xdYCXan.exe	upx
C:\Windows\System32\FZbXGSy.exe	upx
C:\Windows\System32\mKWQnvw.exe	upx
C:\Windows\System32\ZzaXSSP.exe	upx
behavioral2/memory/3104-39-0x00007FF7A9740000-0x00007FF7A9B31000-memory.dmp	upx
behavioral2/memory/3040-21-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp	upx
behavioral2/memory/2932-17-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp	upx
behavioral2/memory/4456-856-0x00007FF775890000-0x00007FF775C81000-memory.dmp	upx
behavioral2/memory/2932-1700-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp	upx
behavioral2/memory/2044-1699-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp	upx
behavioral2/memory/3040-1702-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp	upx
behavioral2/memory/964-2002-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp	upx
behavioral2/memory/4456-2026-0x00007FF775890000-0x00007FF775C81000-memory.dmp	upx
behavioral2/memory/2044-2043-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

Processes:

8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe

description	ioc	process
File created	C:\Windows\System32\HjRQwFA.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\SSUbwqi.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\PkLgGWD.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\gvSWbIh.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\FhzPSSr.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\iFmjnaQ.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\xWcNaAN.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\ajuBBZs.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\FZbXGSy.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\VVWMukS.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\cmAgMQO.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\cwZPPVF.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\dFUuoJH.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\rJPJKgL.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\FRzGapY.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\CqHPvjN.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\TzACgKO.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\NFTZeCN.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\qsiBOfZ.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\gqDLSPx.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\udBGexA.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\XzmxYZC.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\aVmyNFy.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\qgDCVHX.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\kzyXBPr.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\lERItNV.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\qsqFbyN.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\bxzFyvc.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\udRvMMf.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\HpXbRgp.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\wvEXPqG.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\DltNPUk.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\uiaEMuo.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\jQoDBDg.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\XYYYCwt.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\qugUOjH.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\qGQQKso.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\QLOXJpX.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\HfxAUnt.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\cebIYWX.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\PkKxhzM.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\ttvLMlx.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\cdgBWrh.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\uLNAjmE.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\BpbXYup.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\LAveczu.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\RzIRART.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\ExwuNTL.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\vizGKRr.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\czrQNGO.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\PIwVOTJ.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\LnKKxbN.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\iGsaGPd.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\BDeFyTu.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\lcMwsfO.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\WOdZGwa.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\oOONLmP.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\IhPohra.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\mMbdAUs.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\YzUEZiT.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\oTtkhHX.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\jAiKnVH.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\CcqrACJ.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
File created	C:\Windows\System32\BmHLuvC.exe	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

Processes:

dwm.exe

description	ioc	process
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

Processes:

dwm.exe

description	pid	process
Token: SeCreateGlobalPrivilege	5024	dwm.exe
Token: SeChangeNotifyPrivilege	5024	dwm.exe
Token: 33	5024	dwm.exe
Token: SeIncBasePriorityPrivilege	5024	dwm.exe
Token: SeShutdownPrivilege	5024	dwm.exe
Token: SeCreatePagefilePrivilege	5024	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe

description	pid	process	target process
PID 4456 wrote to memory of 2044	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	PkKxhzM.exe
PID 4456 wrote to memory of 2044	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	PkKxhzM.exe
PID 4456 wrote to memory of 2932	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	dIKtXob.exe
PID 4456 wrote to memory of 2932	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	dIKtXob.exe
PID 4456 wrote to memory of 3040	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	KVabpBF.exe
PID 4456 wrote to memory of 3040	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	KVabpBF.exe
PID 4456 wrote to memory of 2324	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	sFFbiNq.exe
PID 4456 wrote to memory of 2324	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	sFFbiNq.exe
PID 4456 wrote to memory of 940	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZQRgGHt.exe
PID 4456 wrote to memory of 940	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZQRgGHt.exe
PID 4456 wrote to memory of 3104	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZCNSLEk.exe
PID 4456 wrote to memory of 3104	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZCNSLEk.exe
PID 4456 wrote to memory of 964	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	asqCXRw.exe
PID 4456 wrote to memory of 964	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	asqCXRw.exe
PID 4456 wrote to memory of 3560	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZzaXSSP.exe
PID 4456 wrote to memory of 3560	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZzaXSSP.exe
PID 4456 wrote to memory of 4700	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	aEgmXJc.exe
PID 4456 wrote to memory of 4700	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	aEgmXJc.exe
PID 4456 wrote to memory of 3928	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	mKWQnvw.exe
PID 4456 wrote to memory of 3928	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	mKWQnvw.exe
PID 4456 wrote to memory of 3076	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	FZbXGSy.exe
PID 4456 wrote to memory of 3076	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	FZbXGSy.exe
PID 4456 wrote to memory of 1528	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	xdYCXan.exe
PID 4456 wrote to memory of 1528	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	xdYCXan.exe
PID 4456 wrote to memory of 3812	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	kLFlSJm.exe
PID 4456 wrote to memory of 3812	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	kLFlSJm.exe
PID 4456 wrote to memory of 4896	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	aGqtMcD.exe
PID 4456 wrote to memory of 4896	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	aGqtMcD.exe
PID 4456 wrote to memory of 4964	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	DxPyTma.exe
PID 4456 wrote to memory of 4964	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	DxPyTma.exe
PID 4456 wrote to memory of 3568	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	uuElSVH.exe
PID 4456 wrote to memory of 3568	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	uuElSVH.exe
PID 4456 wrote to memory of 4688	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	FjFMEqL.exe
PID 4456 wrote to memory of 4688	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	FjFMEqL.exe
PID 4456 wrote to memory of 836	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	MtwbbkR.exe
PID 4456 wrote to memory of 836	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	MtwbbkR.exe
PID 4456 wrote to memory of 3296	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	JiaLQrm.exe
PID 4456 wrote to memory of 3296	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	JiaLQrm.exe
PID 4456 wrote to memory of 5072	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	rnKqaCN.exe
PID 4456 wrote to memory of 5072	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	rnKqaCN.exe
PID 4456 wrote to memory of 3240	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	yeBLRsR.exe
PID 4456 wrote to memory of 3240	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	yeBLRsR.exe
PID 4456 wrote to memory of 4516	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	knzaYuy.exe
PID 4456 wrote to memory of 4516	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	knzaYuy.exe
PID 4456 wrote to memory of 4760	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	dwJOWCH.exe
PID 4456 wrote to memory of 4760	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	dwJOWCH.exe
PID 4456 wrote to memory of 8	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	kdOBQsM.exe
PID 4456 wrote to memory of 8	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	kdOBQsM.exe
PID 4456 wrote to memory of 4024	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZEymbSE.exe
PID 4456 wrote to memory of 4024	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	ZEymbSE.exe
PID 4456 wrote to memory of 3256	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	NUyYUOT.exe
PID 4456 wrote to memory of 3256	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	NUyYUOT.exe
PID 4456 wrote to memory of 2332	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	OuHkljn.exe
PID 4456 wrote to memory of 2332	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	OuHkljn.exe
PID 4456 wrote to memory of 4576	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	DyofAXx.exe
PID 4456 wrote to memory of 4576	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	DyofAXx.exe
PID 4456 wrote to memory of 1788	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	HzKzBQf.exe
PID 4456 wrote to memory of 1788	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	HzKzBQf.exe
PID 4456 wrote to memory of 932	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	qtjgblN.exe
PID 4456 wrote to memory of 932	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	qtjgblN.exe
PID 4456 wrote to memory of 2428	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	kAVqEau.exe
PID 4456 wrote to memory of 2428	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	kAVqEau.exe
PID 4456 wrote to memory of 5080	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	LAoVYOs.exe
PID 4456 wrote to memory of 5080	4456	8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe	LAoVYOs.exe

C:\Users\Admin\AppData\Local\Temp\8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\8c94d8c8de8e8ebe710f6c6c07b5e000_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4456

C:\Windows\System32\PkKxhzM.exe
C:\Windows\System32\PkKxhzM.exe
2⤵
- Executes dropped EXE
PID:2044

C:\Windows\System32\dIKtXob.exe
C:\Windows\System32\dIKtXob.exe
2⤵
- Executes dropped EXE
PID:2932

C:\Windows\System32\KVabpBF.exe
C:\Windows\System32\KVabpBF.exe
2⤵
- Executes dropped EXE
PID:3040

C:\Windows\System32\sFFbiNq.exe
C:\Windows\System32\sFFbiNq.exe
2⤵
- Executes dropped EXE
PID:2324

C:\Windows\System32\ZQRgGHt.exe
C:\Windows\System32\ZQRgGHt.exe
2⤵
- Executes dropped EXE
PID:940

C:\Windows\System32\ZCNSLEk.exe
C:\Windows\System32\ZCNSLEk.exe
2⤵
- Executes dropped EXE
PID:3104

C:\Windows\System32\asqCXRw.exe
C:\Windows\System32\asqCXRw.exe
2⤵
- Executes dropped EXE
PID:964

C:\Windows\System32\ZzaXSSP.exe
C:\Windows\System32\ZzaXSSP.exe
2⤵
- Executes dropped EXE
PID:3560

C:\Windows\System32\aEgmXJc.exe
C:\Windows\System32\aEgmXJc.exe
2⤵
- Executes dropped EXE
PID:4700

C:\Windows\System32\mKWQnvw.exe
C:\Windows\System32\mKWQnvw.exe
2⤵
- Executes dropped EXE
PID:3928

C:\Windows\System32\FZbXGSy.exe
C:\Windows\System32\FZbXGSy.exe
2⤵
- Executes dropped EXE
PID:3076

C:\Windows\System32\xdYCXan.exe
C:\Windows\System32\xdYCXan.exe
2⤵
- Executes dropped EXE
PID:1528

C:\Windows\System32\kLFlSJm.exe
C:\Windows\System32\kLFlSJm.exe
2⤵
- Executes dropped EXE
PID:3812

C:\Windows\System32\aGqtMcD.exe
C:\Windows\System32\aGqtMcD.exe
2⤵
- Executes dropped EXE
PID:4896

C:\Windows\System32\DxPyTma.exe
C:\Windows\System32\DxPyTma.exe
2⤵
- Executes dropped EXE
PID:4964

C:\Windows\System32\uuElSVH.exe
C:\Windows\System32\uuElSVH.exe
2⤵
- Executes dropped EXE
PID:3568

C:\Windows\System32\FjFMEqL.exe
C:\Windows\System32\FjFMEqL.exe
2⤵
- Executes dropped EXE
PID:4688

C:\Windows\System32\MtwbbkR.exe
C:\Windows\System32\MtwbbkR.exe
2⤵
- Executes dropped EXE
PID:836

C:\Windows\System32\JiaLQrm.exe
C:\Windows\System32\JiaLQrm.exe
2⤵
- Executes dropped EXE
PID:3296

C:\Windows\System32\rnKqaCN.exe
C:\Windows\System32\rnKqaCN.exe
2⤵
- Executes dropped EXE
PID:5072

C:\Windows\System32\yeBLRsR.exe
C:\Windows\System32\yeBLRsR.exe
2⤵
- Executes dropped EXE
PID:3240

C:\Windows\System32\knzaYuy.exe
C:\Windows\System32\knzaYuy.exe
2⤵
- Executes dropped EXE
PID:4516

C:\Windows\System32\dwJOWCH.exe
C:\Windows\System32\dwJOWCH.exe
2⤵
- Executes dropped EXE
PID:4760

C:\Windows\System32\kdOBQsM.exe
C:\Windows\System32\kdOBQsM.exe
2⤵
- Executes dropped EXE
PID:8

C:\Windows\System32\ZEymbSE.exe
C:\Windows\System32\ZEymbSE.exe
2⤵
- Executes dropped EXE
PID:4024

C:\Windows\System32\NUyYUOT.exe
C:\Windows\System32\NUyYUOT.exe
2⤵
- Executes dropped EXE
PID:3256

C:\Windows\System32\OuHkljn.exe
C:\Windows\System32\OuHkljn.exe
2⤵
- Executes dropped EXE
PID:2332

C:\Windows\System32\DyofAXx.exe
C:\Windows\System32\DyofAXx.exe
2⤵
- Executes dropped EXE
PID:4576

C:\Windows\System32\HzKzBQf.exe
C:\Windows\System32\HzKzBQf.exe
2⤵
- Executes dropped EXE
PID:1788

C:\Windows\System32\qtjgblN.exe
C:\Windows\System32\qtjgblN.exe
2⤵
- Executes dropped EXE
PID:932

C:\Windows\System32\kAVqEau.exe
C:\Windows\System32\kAVqEau.exe
2⤵
- Executes dropped EXE
PID:2428

C:\Windows\System32\LAoVYOs.exe
C:\Windows\System32\LAoVYOs.exe
2⤵
- Executes dropped EXE
PID:5080

C:\Windows\System32\qmwPLYq.exe
C:\Windows\System32\qmwPLYq.exe
2⤵
- Executes dropped EXE
PID:4868

C:\Windows\System32\bAeqfIM.exe
C:\Windows\System32\bAeqfIM.exe
2⤵
- Executes dropped EXE
PID:1672

C:\Windows\System32\wrtRVPW.exe
C:\Windows\System32\wrtRVPW.exe
2⤵
- Executes dropped EXE
PID:2560

C:\Windows\System32\LcLbxpT.exe
C:\Windows\System32\LcLbxpT.exe
2⤵
- Executes dropped EXE
PID:1364

C:\Windows\System32\QkFJgzU.exe
C:\Windows\System32\QkFJgzU.exe
2⤵
- Executes dropped EXE
PID:808

C:\Windows\System32\XzmxYZC.exe
C:\Windows\System32\XzmxYZC.exe
2⤵
- Executes dropped EXE
PID:2360

C:\Windows\System32\zgcZKds.exe
C:\Windows\System32\zgcZKds.exe
2⤵
- Executes dropped EXE
PID:960

C:\Windows\System32\VlwczMz.exe
C:\Windows\System32\VlwczMz.exe
2⤵
- Executes dropped EXE
PID:3692

C:\Windows\System32\mSnGGNS.exe
C:\Windows\System32\mSnGGNS.exe
2⤵
- Executes dropped EXE
PID:3740

C:\Windows\System32\YcTdhMd.exe
C:\Windows\System32\YcTdhMd.exe
2⤵
- Executes dropped EXE
PID:2896

C:\Windows\System32\hLSutnl.exe
C:\Windows\System32\hLSutnl.exe
2⤵
- Executes dropped EXE
PID:3124

C:\Windows\System32\FoGEXSw.exe
C:\Windows\System32\FoGEXSw.exe
2⤵
- Executes dropped EXE
PID:4164

C:\Windows\System32\HfcOKUy.exe
C:\Windows\System32\HfcOKUy.exe
2⤵
- Executes dropped EXE
PID:1292

C:\Windows\System32\kCbQSGB.exe
C:\Windows\System32\kCbQSGB.exe
2⤵
- Executes dropped EXE
PID:4816

C:\Windows\System32\rkftFed.exe
C:\Windows\System32\rkftFed.exe
2⤵
- Executes dropped EXE
PID:2084

C:\Windows\System32\BxLXLru.exe
C:\Windows\System32\BxLXLru.exe
2⤵
- Executes dropped EXE
PID:852

C:\Windows\System32\zWyYvIV.exe
C:\Windows\System32\zWyYvIV.exe
2⤵
- Executes dropped EXE
PID:4316

C:\Windows\System32\wQRvnac.exe
C:\Windows\System32\wQRvnac.exe
2⤵
- Executes dropped EXE
PID:1540

C:\Windows\System32\aQiIVEK.exe
C:\Windows\System32\aQiIVEK.exe
2⤵
- Executes dropped EXE
PID:3828

C:\Windows\System32\tOBpvrY.exe
C:\Windows\System32\tOBpvrY.exe
2⤵
- Executes dropped EXE
PID:424

C:\Windows\System32\NHFjbvB.exe
C:\Windows\System32\NHFjbvB.exe
2⤵
- Executes dropped EXE
PID:4852

C:\Windows\System32\MavfLzY.exe
C:\Windows\System32\MavfLzY.exe
2⤵
- Executes dropped EXE
PID:4088

C:\Windows\System32\dczxzUn.exe
C:\Windows\System32\dczxzUn.exe
2⤵
- Executes dropped EXE
PID:4932

C:\Windows\System32\OXxhxsB.exe
C:\Windows\System32\OXxhxsB.exe
2⤵
- Executes dropped EXE
PID:1368

C:\Windows\System32\ulPBFGe.exe
C:\Windows\System32\ulPBFGe.exe
2⤵
- Executes dropped EXE
PID:3408

C:\Windows\System32\QfWpxmg.exe
C:\Windows\System32\QfWpxmg.exe
2⤵
- Executes dropped EXE
PID:1956

C:\Windows\System32\aAhOSPv.exe
C:\Windows\System32\aAhOSPv.exe
2⤵
- Executes dropped EXE
PID:2564

C:\Windows\System32\cmAgMQO.exe
C:\Windows\System32\cmAgMQO.exe
2⤵
- Executes dropped EXE
PID:2176

C:\Windows\System32\LbhvGKF.exe
C:\Windows\System32\LbhvGKF.exe
2⤵
- Executes dropped EXE
PID:4956

C:\Windows\System32\XlrQadV.exe
C:\Windows\System32\XlrQadV.exe
2⤵
- Executes dropped EXE
PID:1648

C:\Windows\System32\eMYYDWd.exe
C:\Windows\System32\eMYYDWd.exe
2⤵
- Executes dropped EXE
PID:1488

C:\Windows\System32\HpXbRgp.exe
C:\Windows\System32\HpXbRgp.exe
2⤵
- Executes dropped EXE
PID:1460

C:\Windows\System32\LnKKxbN.exe
C:\Windows\System32\LnKKxbN.exe
2⤵
PID:4340

C:\Windows\System32\lElAFpt.exe
C:\Windows\System32\lElAFpt.exe
2⤵
PID:4484

C:\Windows\System32\rSSJzfc.exe
C:\Windows\System32\rSSJzfc.exe
2⤵
PID:3776

C:\Windows\System32\UUpFLqL.exe
C:\Windows\System32\UUpFLqL.exe
2⤵
PID:3144

C:\Windows\System32\BnOuIOH.exe
C:\Windows\System32\BnOuIOH.exe
2⤵
PID:364

C:\Windows\System32\XEuleQv.exe
C:\Windows\System32\XEuleQv.exe
2⤵
PID:1836

C:\Windows\System32\YbAPQFY.exe
C:\Windows\System32\YbAPQFY.exe
2⤵
PID:464

C:\Windows\System32\UTiAkhR.exe
C:\Windows\System32\UTiAkhR.exe
2⤵
PID:4996

C:\Windows\System32\BumtlOY.exe
C:\Windows\System32\BumtlOY.exe
2⤵
PID:2952

C:\Windows\System32\EsTdKHW.exe
C:\Windows\System32\EsTdKHW.exe
2⤵
PID:3648

C:\Windows\System32\AJepJZY.exe
C:\Windows\System32\AJepJZY.exe
2⤵
PID:4696

C:\Windows\System32\CSKrqeD.exe
C:\Windows\System32\CSKrqeD.exe
2⤵
PID:2024

C:\Windows\System32\xEVKcNu.exe
C:\Windows\System32\xEVKcNu.exe
2⤵
PID:3896

C:\Windows\System32\RzIRART.exe
C:\Windows\System32\RzIRART.exe
2⤵
PID:2644

C:\Windows\System32\iIpzEFX.exe
C:\Windows\System32\iIpzEFX.exe
2⤵
PID:4992

C:\Windows\System32\dudkTwD.exe
C:\Windows\System32\dudkTwD.exe
2⤵
PID:3460

C:\Windows\System32\IXRIcor.exe
C:\Windows\System32\IXRIcor.exe
2⤵
PID:1352

C:\Windows\System32\dDKqwDl.exe
C:\Windows\System32\dDKqwDl.exe
2⤵
PID:1100

C:\Windows\System32\FRzGapY.exe
C:\Windows\System32\FRzGapY.exe
2⤵
PID:3684

C:\Windows\System32\qugUOjH.exe
C:\Windows\System32\qugUOjH.exe
2⤵
PID:1484

C:\Windows\System32\dNFPhdH.exe
C:\Windows\System32\dNFPhdH.exe
2⤵
PID:1704

C:\Windows\System32\XjEzIUv.exe
C:\Windows\System32\XjEzIUv.exe
2⤵
PID:3180

C:\Windows\System32\OVpHpFL.exe
C:\Windows\System32\OVpHpFL.exe
2⤵
PID:3652

C:\Windows\System32\kPledtk.exe
C:\Windows\System32\kPledtk.exe
2⤵
PID:4944

C:\Windows\System32\vMCtWGl.exe
C:\Windows\System32\vMCtWGl.exe
2⤵
PID:1016

C:\Windows\System32\hNzegKg.exe
C:\Windows\System32\hNzegKg.exe
2⤵
PID:4408

C:\Windows\System32\uzqWryU.exe
C:\Windows\System32\uzqWryU.exe
2⤵
PID:1272

C:\Windows\System32\sIHXFyF.exe
C:\Windows\System32\sIHXFyF.exe
2⤵
PID:1668

C:\Windows\System32\ECkDfqN.exe
C:\Windows\System32\ECkDfqN.exe
2⤵
PID:3328

C:\Windows\System32\oQWLxkq.exe
C:\Windows\System32\oQWLxkq.exe
2⤵
PID:3920

C:\Windows\System32\xsfuurJ.exe
C:\Windows\System32\xsfuurJ.exe
2⤵
PID:5176

C:\Windows\System32\lmHSPyC.exe
C:\Windows\System32\lmHSPyC.exe
2⤵
PID:5204

C:\Windows\System32\tVgXOaz.exe
C:\Windows\System32\tVgXOaz.exe
2⤵
PID:5244

C:\Windows\System32\bShtFHn.exe
C:\Windows\System32\bShtFHn.exe
2⤵
PID:5296

C:\Windows\System32\JttfLYO.exe
C:\Windows\System32\JttfLYO.exe
2⤵
PID:5320

C:\Windows\System32\tBiYyXg.exe
C:\Windows\System32\tBiYyXg.exe
2⤵
PID:5348

C:\Windows\System32\ZdIJdDR.exe
C:\Windows\System32\ZdIJdDR.exe
2⤵
PID:5368

C:\Windows\System32\HWqGHjF.exe
C:\Windows\System32\HWqGHjF.exe
2⤵
PID:5384

C:\Windows\System32\ttvLMlx.exe
C:\Windows\System32\ttvLMlx.exe
2⤵
PID:5404

C:\Windows\System32\cDIxSxP.exe
C:\Windows\System32\cDIxSxP.exe
2⤵
PID:5428

C:\Windows\System32\dniDtFV.exe
C:\Windows\System32\dniDtFV.exe
2⤵
PID:5456

C:\Windows\System32\tBukfAi.exe
C:\Windows\System32\tBukfAi.exe
2⤵
PID:5472

C:\Windows\System32\RKnOqLS.exe
C:\Windows\System32\RKnOqLS.exe
2⤵
PID:5496

C:\Windows\System32\MrsmAdO.exe
C:\Windows\System32\MrsmAdO.exe
2⤵
PID:5520

C:\Windows\System32\vZDXofE.exe
C:\Windows\System32\vZDXofE.exe
2⤵
PID:5552

C:\Windows\System32\gpasTuI.exe
C:\Windows\System32\gpasTuI.exe
2⤵
PID:5624

C:\Windows\System32\sEUVxfd.exe
C:\Windows\System32\sEUVxfd.exe
2⤵
PID:5644

C:\Windows\System32\NBuISKa.exe
C:\Windows\System32\NBuISKa.exe
2⤵
PID:5668

C:\Windows\System32\QyWDTOx.exe
C:\Windows\System32\QyWDTOx.exe
2⤵
PID:5684

C:\Windows\System32\MgmJNXE.exe
C:\Windows\System32\MgmJNXE.exe
2⤵
PID:5708

C:\Windows\System32\hRYPsBw.exe
C:\Windows\System32\hRYPsBw.exe
2⤵
PID:5728

C:\Windows\System32\XNWObRS.exe
C:\Windows\System32\XNWObRS.exe
2⤵
PID:5744

C:\Windows\System32\rJPJKgL.exe
C:\Windows\System32\rJPJKgL.exe
2⤵
PID:5768

C:\Windows\System32\BmHLuvC.exe
C:\Windows\System32\BmHLuvC.exe
2⤵
PID:5792

C:\Windows\System32\CqHPvjN.exe
C:\Windows\System32\CqHPvjN.exe
2⤵
PID:5852

C:\Windows\System32\CiwhXfn.exe
C:\Windows\System32\CiwhXfn.exe
2⤵
PID:5896

C:\Windows\System32\wvwxeCc.exe
C:\Windows\System32\wvwxeCc.exe
2⤵
PID:5912

C:\Windows\System32\ifpETWQ.exe
C:\Windows\System32\ifpETWQ.exe
2⤵
PID:5944

C:\Windows\System32\oNyJcKf.exe
C:\Windows\System32\oNyJcKf.exe
2⤵
PID:5984

C:\Windows\System32\GooxfyM.exe
C:\Windows\System32\GooxfyM.exe
2⤵
PID:6024

C:\Windows\System32\cXsSwWY.exe
C:\Windows\System32\cXsSwWY.exe
2⤵
PID:6056

C:\Windows\System32\qGQQKso.exe
C:\Windows\System32\qGQQKso.exe
2⤵
PID:6088

C:\Windows\System32\ZJNeURk.exe
C:\Windows\System32\ZJNeURk.exe
2⤵
PID:6116

C:\Windows\System32\vijmTgK.exe
C:\Windows\System32\vijmTgK.exe
2⤵
PID:6140

C:\Windows\System32\Uulazlu.exe
C:\Windows\System32\Uulazlu.exe
2⤵
PID:2172

C:\Windows\System32\REfvbOR.exe
C:\Windows\System32\REfvbOR.exe
2⤵
PID:1916

C:\Windows\System32\zsyPJSs.exe
C:\Windows\System32\zsyPJSs.exe
2⤵
PID:4224

C:\Windows\System32\stvVEhA.exe
C:\Windows\System32\stvVEhA.exe
2⤵
PID:5188

C:\Windows\System32\sogcMDn.exe
C:\Windows\System32\sogcMDn.exe
2⤵
PID:5216

C:\Windows\System32\BHZdUHR.exe
C:\Windows\System32\BHZdUHR.exe
2⤵
PID:5364

C:\Windows\System32\GKIygsM.exe
C:\Windows\System32\GKIygsM.exe
2⤵
PID:5412

C:\Windows\System32\uRaWwdu.exe
C:\Windows\System32\uRaWwdu.exe
2⤵
PID:5528

C:\Windows\System32\JlLiOeQ.exe
C:\Windows\System32\JlLiOeQ.exe
2⤵
PID:5488

C:\Windows\System32\ehxOGYb.exe
C:\Windows\System32\ehxOGYb.exe
2⤵
PID:5580

C:\Windows\System32\BudvcZI.exe
C:\Windows\System32\BudvcZI.exe
2⤵
PID:5676

C:\Windows\System32\tjxGpsn.exe
C:\Windows\System32\tjxGpsn.exe
2⤵
PID:3968

C:\Windows\System32\dXIOjpx.exe
C:\Windows\System32\dXIOjpx.exe
2⤵
PID:1972

C:\Windows\System32\ZMUSzZQ.exe
C:\Windows\System32\ZMUSzZQ.exe
2⤵
PID:5812

C:\Windows\System32\FBVuQAY.exe
C:\Windows\System32\FBVuQAY.exe
2⤵
PID:4740

C:\Windows\System32\naSrBqu.exe
C:\Windows\System32\naSrBqu.exe
2⤵
PID:5888

C:\Windows\System32\HQQBsgT.exe
C:\Windows\System32\HQQBsgT.exe
2⤵
PID:5992

C:\Windows\System32\lvXDWCW.exe
C:\Windows\System32\lvXDWCW.exe
2⤵
PID:6048

C:\Windows\System32\QQAxeII.exe
C:\Windows\System32\QQAxeII.exe
2⤵
PID:4372

C:\Windows\System32\PehANqV.exe
C:\Windows\System32\PehANqV.exe
2⤵
PID:5144

C:\Windows\System32\APwSzWg.exe
C:\Windows\System32\APwSzWg.exe
2⤵
PID:4172

C:\Windows\System32\zbYODEZ.exe
C:\Windows\System32\zbYODEZ.exe
2⤵
PID:5220

C:\Windows\System32\oOONLmP.exe
C:\Windows\System32\oOONLmP.exe
2⤵
PID:5448

C:\Windows\System32\TzACgKO.exe
C:\Windows\System32\TzACgKO.exe
2⤵
PID:5540

C:\Windows\System32\GpstJpt.exe
C:\Windows\System32\GpstJpt.exe
2⤵
PID:5692

C:\Windows\System32\VMdvImT.exe
C:\Windows\System32\VMdvImT.exe
2⤵
PID:5908

C:\Windows\System32\GEhwnRj.exe
C:\Windows\System32\GEhwnRj.exe
2⤵
PID:4336

C:\Windows\System32\uUgGhfh.exe
C:\Windows\System32\uUgGhfh.exe
2⤵
PID:6016

C:\Windows\System32\ZOjaRZi.exe
C:\Windows\System32\ZOjaRZi.exe
2⤵
PID:1496

C:\Windows\System32\rrsYODb.exe
C:\Windows\System32\rrsYODb.exe
2⤵
PID:5572

C:\Windows\System32\eyrbeQC.exe
C:\Windows\System32\eyrbeQC.exe
2⤵
PID:5872

C:\Windows\System32\reBLDWl.exe
C:\Windows\System32\reBLDWl.exe
2⤵
PID:6112

C:\Windows\System32\cMRVAFk.exe
C:\Windows\System32\cMRVAFk.exe
2⤵
PID:5464

C:\Windows\System32\eGrgYiw.exe
C:\Windows\System32\eGrgYiw.exe
2⤵
PID:6160

C:\Windows\System32\UNppelv.exe
C:\Windows\System32\UNppelv.exe
2⤵
PID:6184

C:\Windows\System32\Axrnqce.exe
C:\Windows\System32\Axrnqce.exe
2⤵
PID:6208

C:\Windows\System32\WyYQTvE.exe
C:\Windows\System32\WyYQTvE.exe
2⤵
PID:6244

C:\Windows\System32\ExwuNTL.exe
C:\Windows\System32\ExwuNTL.exe
2⤵
PID:6264

C:\Windows\System32\ACLGuzv.exe
C:\Windows\System32\ACLGuzv.exe
2⤵
PID:6300

C:\Windows\System32\iGsaGPd.exe
C:\Windows\System32\iGsaGPd.exe
2⤵
PID:6328

C:\Windows\System32\aooJwxz.exe
C:\Windows\System32\aooJwxz.exe
2⤵
PID:6352

C:\Windows\System32\chqDpKZ.exe
C:\Windows\System32\chqDpKZ.exe
2⤵
PID:6376

C:\Windows\System32\UzEZwXu.exe
C:\Windows\System32\UzEZwXu.exe
2⤵
PID:6392

C:\Windows\System32\rjJKMHE.exe
C:\Windows\System32\rjJKMHE.exe
2⤵
PID:6424

C:\Windows\System32\SBjzwZY.exe
C:\Windows\System32\SBjzwZY.exe
2⤵
PID:6448

C:\Windows\System32\sMDOEtv.exe
C:\Windows\System32\sMDOEtv.exe
2⤵
PID:6472

C:\Windows\System32\qgDCVHX.exe
C:\Windows\System32\qgDCVHX.exe
2⤵
PID:6492

C:\Windows\System32\FUFdPxE.exe
C:\Windows\System32\FUFdPxE.exe
2⤵
PID:6532

C:\Windows\System32\NDsDKAF.exe
C:\Windows\System32\NDsDKAF.exe
2⤵
PID:6564

C:\Windows\System32\YaXODNf.exe
C:\Windows\System32\YaXODNf.exe
2⤵
PID:6580

C:\Windows\System32\QdFaBmV.exe
C:\Windows\System32\QdFaBmV.exe
2⤵
PID:6612

C:\Windows\System32\ClGhaFV.exe
C:\Windows\System32\ClGhaFV.exe
2⤵
PID:6628

C:\Windows\System32\Tmtmnem.exe
C:\Windows\System32\Tmtmnem.exe
2⤵
PID:6652

C:\Windows\System32\FeKFRZT.exe
C:\Windows\System32\FeKFRZT.exe
2⤵
PID:6680

C:\Windows\System32\gSeazTf.exe
C:\Windows\System32\gSeazTf.exe
2⤵
PID:6716

C:\Windows\System32\QovRbfC.exe
C:\Windows\System32\QovRbfC.exe
2⤵
PID:6776

C:\Windows\System32\AuDyecT.exe
C:\Windows\System32\AuDyecT.exe
2⤵
PID:6796

C:\Windows\System32\DeVfOiG.exe
C:\Windows\System32\DeVfOiG.exe
2⤵
PID:6828

C:\Windows\System32\NFTZeCN.exe
C:\Windows\System32\NFTZeCN.exe
2⤵
PID:6852

C:\Windows\System32\YxWZIaK.exe
C:\Windows\System32\YxWZIaK.exe
2⤵
PID:6896

C:\Windows\System32\EpiGfry.exe
C:\Windows\System32\EpiGfry.exe
2⤵
PID:6924

C:\Windows\System32\SAbxtlr.exe
C:\Windows\System32\SAbxtlr.exe
2⤵
PID:6944

C:\Windows\System32\VbtuwfR.exe
C:\Windows\System32\VbtuwfR.exe
2⤵
PID:6972

C:\Windows\System32\CtIlGYc.exe
C:\Windows\System32\CtIlGYc.exe
2⤵
PID:6992

C:\Windows\System32\OWZOJyD.exe
C:\Windows\System32\OWZOJyD.exe
2⤵
PID:7016

C:\Windows\System32\bNxKbgv.exe
C:\Windows\System32\bNxKbgv.exe
2⤵
PID:7056

C:\Windows\System32\qCKBplz.exe
C:\Windows\System32\qCKBplz.exe
2⤵
PID:7088

C:\Windows\System32\JGfycfB.exe
C:\Windows\System32\JGfycfB.exe
2⤵
PID:7116

C:\Windows\System32\iTpVssh.exe
C:\Windows\System32\iTpVssh.exe
2⤵
PID:7140

C:\Windows\System32\QLOXJpX.exe
C:\Windows\System32\QLOXJpX.exe
2⤵
PID:7160

C:\Windows\System32\iFmjnaQ.exe
C:\Windows\System32\iFmjnaQ.exe
2⤵
PID:6196

C:\Windows\System32\QSaTsFJ.exe
C:\Windows\System32\QSaTsFJ.exe
2⤵
PID:6236

C:\Windows\System32\OsxZaBN.exe
C:\Windows\System32\OsxZaBN.exe
2⤵
PID:6316

C:\Windows\System32\CcqrACJ.exe
C:\Windows\System32\CcqrACJ.exe
2⤵
PID:6384

C:\Windows\System32\yXMcFyL.exe
C:\Windows\System32\yXMcFyL.exe
2⤵
PID:6440

C:\Windows\System32\FhzPSSr.exe
C:\Windows\System32\FhzPSSr.exe
2⤵
PID:6444

C:\Windows\System32\YsvakDK.exe
C:\Windows\System32\YsvakDK.exe
2⤵
PID:6464

C:\Windows\System32\uOWVqvF.exe
C:\Windows\System32\uOWVqvF.exe
2⤵
PID:6560

C:\Windows\System32\qKTWjlZ.exe
C:\Windows\System32\qKTWjlZ.exe
2⤵
PID:6596

C:\Windows\System32\YIWmQWs.exe
C:\Windows\System32\YIWmQWs.exe
2⤵
PID:6712

C:\Windows\System32\DdVZqbT.exe
C:\Windows\System32\DdVZqbT.exe
2⤵
PID:6788

C:\Windows\System32\VvMZtOu.exe
C:\Windows\System32\VvMZtOu.exe
2⤵
PID:6876

C:\Windows\System32\VtZPnji.exe
C:\Windows\System32\VtZPnji.exe
2⤵
PID:6940

C:\Windows\System32\xKMuwvo.exe
C:\Windows\System32\xKMuwvo.exe
2⤵
PID:7024

C:\Windows\System32\WnYNeEu.exe
C:\Windows\System32\WnYNeEu.exe
2⤵
PID:7072

C:\Windows\System32\JnunBEK.exe
C:\Windows\System32\JnunBEK.exe
2⤵
PID:7156

C:\Windows\System32\XLqBjKr.exe
C:\Windows\System32\XLqBjKr.exe
2⤵
PID:5868

C:\Windows\System32\lBfGcpP.exe
C:\Windows\System32\lBfGcpP.exe
2⤵
PID:6340

C:\Windows\System32\LHEIzem.exe
C:\Windows\System32\LHEIzem.exe
2⤵
PID:6412

C:\Windows\System32\LGyjKDQ.exe
C:\Windows\System32\LGyjKDQ.exe
2⤵
PID:6752

C:\Windows\System32\kTQVUdo.exe
C:\Windows\System32\kTQVUdo.exe
2⤵
PID:6816

C:\Windows\System32\pgriEru.exe
C:\Windows\System32\pgriEru.exe
2⤵
PID:6908

C:\Windows\System32\NKZVdQI.exe
C:\Windows\System32\NKZVdQI.exe
2⤵
PID:1504

C:\Windows\System32\APcXCsI.exe
C:\Windows\System32\APcXCsI.exe
2⤵
PID:6400

C:\Windows\System32\RAmqyuu.exe
C:\Windows\System32\RAmqyuu.exe
2⤵
PID:6556

C:\Windows\System32\UlgoZeb.exe
C:\Windows\System32\UlgoZeb.exe
2⤵
PID:7032

C:\Windows\System32\BBNJWYt.exe
C:\Windows\System32\BBNJWYt.exe
2⤵
PID:6912

C:\Windows\System32\UVZaVOn.exe
C:\Windows\System32\UVZaVOn.exe
2⤵
PID:6520

C:\Windows\System32\nPuiSCn.exe
C:\Windows\System32\nPuiSCn.exe
2⤵
PID:7188

C:\Windows\System32\kzyXBPr.exe
C:\Windows\System32\kzyXBPr.exe
2⤵
PID:7236

C:\Windows\System32\idADmkd.exe
C:\Windows\System32\idADmkd.exe
2⤵
PID:7264

C:\Windows\System32\iNQbWGG.exe
C:\Windows\System32\iNQbWGG.exe
2⤵
PID:7284

C:\Windows\System32\YAfIqsh.exe
C:\Windows\System32\YAfIqsh.exe
2⤵
PID:7308

C:\Windows\System32\zBYTjOF.exe
C:\Windows\System32\zBYTjOF.exe
2⤵
PID:7336

C:\Windows\System32\IhPohra.exe
C:\Windows\System32\IhPohra.exe
2⤵
PID:7384

C:\Windows\System32\WcyWlsP.exe
C:\Windows\System32\WcyWlsP.exe
2⤵
PID:7404

C:\Windows\System32\ijVknQr.exe
C:\Windows\System32\ijVknQr.exe
2⤵
PID:7428

C:\Windows\System32\bPvIrEu.exe
C:\Windows\System32\bPvIrEu.exe
2⤵
PID:7448

C:\Windows\System32\tMCnxBa.exe
C:\Windows\System32\tMCnxBa.exe
2⤵
PID:7468

C:\Windows\System32\uVemUDq.exe
C:\Windows\System32\uVemUDq.exe
2⤵
PID:7500

C:\Windows\System32\VNEiHyQ.exe
C:\Windows\System32\VNEiHyQ.exe
2⤵
PID:7540

C:\Windows\System32\wioqhBk.exe
C:\Windows\System32\wioqhBk.exe
2⤵
PID:7564

C:\Windows\System32\cRgqYsl.exe
C:\Windows\System32\cRgqYsl.exe
2⤵
PID:7588

C:\Windows\System32\bTVrjrv.exe
C:\Windows\System32\bTVrjrv.exe
2⤵
PID:7628

C:\Windows\System32\xTmQmsh.exe
C:\Windows\System32\xTmQmsh.exe
2⤵
PID:7656

C:\Windows\System32\vSniUsP.exe
C:\Windows\System32\vSniUsP.exe
2⤵
PID:7684

C:\Windows\System32\nVrHAIo.exe
C:\Windows\System32\nVrHAIo.exe
2⤵
PID:7708

C:\Windows\System32\NLTkWFR.exe
C:\Windows\System32\NLTkWFR.exe
2⤵
PID:7728

C:\Windows\System32\wGKrRzx.exe
C:\Windows\System32\wGKrRzx.exe
2⤵
PID:7768

C:\Windows\System32\uECdXPI.exe
C:\Windows\System32\uECdXPI.exe
2⤵
PID:7792

C:\Windows\System32\xWcNaAN.exe
C:\Windows\System32\xWcNaAN.exe
2⤵
PID:7812

C:\Windows\System32\rHlVSTW.exe
C:\Windows\System32\rHlVSTW.exe
2⤵
PID:7828

C:\Windows\System32\hvsoNCN.exe
C:\Windows\System32\hvsoNCN.exe
2⤵
PID:7872

C:\Windows\System32\QUmKNdI.exe
C:\Windows\System32\QUmKNdI.exe
2⤵
PID:7888

C:\Windows\System32\vZJsrpB.exe
C:\Windows\System32\vZJsrpB.exe
2⤵
PID:7960

C:\Windows\System32\PajIaht.exe
C:\Windows\System32\PajIaht.exe
2⤵
PID:7976

C:\Windows\System32\rRWUsrR.exe
C:\Windows\System32\rRWUsrR.exe
2⤵
PID:8012

C:\Windows\System32\hzpvedJ.exe
C:\Windows\System32\hzpvedJ.exe
2⤵
PID:8032

C:\Windows\System32\SXoFyaJ.exe
C:\Windows\System32\SXoFyaJ.exe
2⤵
PID:8064

C:\Windows\System32\diXEUun.exe
C:\Windows\System32\diXEUun.exe
2⤵
PID:8084

C:\Windows\System32\kObmWlf.exe
C:\Windows\System32\kObmWlf.exe
2⤵
PID:8100

C:\Windows\System32\gwhRbIT.exe
C:\Windows\System32\gwhRbIT.exe
2⤵
PID:8124

C:\Windows\System32\cSnKSll.exe
C:\Windows\System32\cSnKSll.exe
2⤵
PID:8140

C:\Windows\System32\RbJnyNe.exe
C:\Windows\System32\RbJnyNe.exe
2⤵
PID:6276

C:\Windows\System32\rNWJBCQ.exe
C:\Windows\System32\rNWJBCQ.exe
2⤵
PID:7256

C:\Windows\System32\QWGgWyn.exe
C:\Windows\System32\QWGgWyn.exe
2⤵
PID:7328

C:\Windows\System32\kMaWBSd.exe
C:\Windows\System32\kMaWBSd.exe
2⤵
PID:7364

C:\Windows\System32\CeAMykm.exe
C:\Windows\System32\CeAMykm.exe
2⤵
PID:7488

C:\Windows\System32\OePVvLw.exe
C:\Windows\System32\OePVvLw.exe
2⤵
PID:7560

C:\Windows\System32\eQuFLhL.exe
C:\Windows\System32\eQuFLhL.exe
2⤵
PID:7640

C:\Windows\System32\KNnCVoy.exe
C:\Windows\System32\KNnCVoy.exe
2⤵
PID:7716

C:\Windows\System32\ooqiPQq.exe
C:\Windows\System32\ooqiPQq.exe
2⤵
PID:7748

C:\Windows\System32\nPrAFJm.exe
C:\Windows\System32\nPrAFJm.exe
2⤵
PID:7804

C:\Windows\System32\AJcolWr.exe
C:\Windows\System32\AJcolWr.exe
2⤵
PID:7944

C:\Windows\System32\xiViQwI.exe
C:\Windows\System32\xiViQwI.exe
2⤵
PID:7932

C:\Windows\System32\LByqRjL.exe
C:\Windows\System32\LByqRjL.exe
2⤵
PID:7972

C:\Windows\System32\OYzJJjG.exe
C:\Windows\System32\OYzJJjG.exe
2⤵
PID:8028

C:\Windows\System32\IHghmYS.exe
C:\Windows\System32\IHghmYS.exe
2⤵
PID:8136

C:\Windows\System32\EyYsWbX.exe
C:\Windows\System32\EyYsWbX.exe
2⤵
PID:8076

C:\Windows\System32\IhhhCCk.exe
C:\Windows\System32\IhhhCCk.exe
2⤵
PID:7320

C:\Windows\System32\zBvazhT.exe
C:\Windows\System32\zBvazhT.exe
2⤵
PID:7576

C:\Windows\System32\zDDiJHu.exe
C:\Windows\System32\zDDiJHu.exe
2⤵
PID:4628

C:\Windows\System32\gNuobaK.exe
C:\Windows\System32\gNuobaK.exe
2⤵
PID:7676

C:\Windows\System32\JTAMoAc.exe
C:\Windows\System32\JTAMoAc.exe
2⤵
PID:7928

C:\Windows\System32\qFHWaxX.exe
C:\Windows\System32\qFHWaxX.exe
2⤵
PID:7952

C:\Windows\System32\JBlsntu.exe
C:\Windows\System32\JBlsntu.exe
2⤵
PID:8092

C:\Windows\System32\XYYYCwt.exe
C:\Windows\System32\XYYYCwt.exe
2⤵
PID:7420

C:\Windows\System32\eYKnVvA.exe
C:\Windows\System32\eYKnVvA.exe
2⤵
PID:7720

C:\Windows\System32\puibpMy.exe
C:\Windows\System32\puibpMy.exe
2⤵
PID:8000

C:\Windows\System32\YiHMIMv.exe
C:\Windows\System32\YiHMIMv.exe
2⤵
PID:8044

C:\Windows\System32\vizGKRr.exe
C:\Windows\System32\vizGKRr.exe
2⤵
PID:7840

C:\Windows\System32\uPccqnk.exe
C:\Windows\System32\uPccqnk.exe
2⤵
PID:8208

C:\Windows\System32\QRSnwZQ.exe
C:\Windows\System32\QRSnwZQ.exe
2⤵
PID:8228

C:\Windows\System32\tRkgANJ.exe
C:\Windows\System32\tRkgANJ.exe
2⤵
PID:8256

C:\Windows\System32\hyQiXOc.exe
C:\Windows\System32\hyQiXOc.exe
2⤵
PID:8272

C:\Windows\System32\lpmZCcU.exe
C:\Windows\System32\lpmZCcU.exe
2⤵
PID:8300

C:\Windows\System32\Ougficz.exe
C:\Windows\System32\Ougficz.exe
2⤵
PID:8320

C:\Windows\System32\TKgQRxD.exe
C:\Windows\System32\TKgQRxD.exe
2⤵
PID:8356

C:\Windows\System32\WcNWazo.exe
C:\Windows\System32\WcNWazo.exe
2⤵
PID:8432

C:\Windows\System32\TVZIumn.exe
C:\Windows\System32\TVZIumn.exe
2⤵
PID:8448

C:\Windows\System32\wlXzLCf.exe
C:\Windows\System32\wlXzLCf.exe
2⤵
PID:8472

C:\Windows\System32\pIIPhzJ.exe
C:\Windows\System32\pIIPhzJ.exe
2⤵
PID:8516

C:\Windows\System32\OGyuUZG.exe
C:\Windows\System32\OGyuUZG.exe
2⤵
PID:8536

C:\Windows\System32\JVbUzjB.exe
C:\Windows\System32\JVbUzjB.exe
2⤵
PID:8560

C:\Windows\System32\pPfSRXV.exe
C:\Windows\System32\pPfSRXV.exe
2⤵
PID:8580

C:\Windows\System32\daLmYtX.exe
C:\Windows\System32\daLmYtX.exe
2⤵
PID:8616

C:\Windows\System32\BDeFyTu.exe
C:\Windows\System32\BDeFyTu.exe
2⤵
PID:8644

C:\Windows\System32\lyCEoqK.exe
C:\Windows\System32\lyCEoqK.exe
2⤵
PID:8684

C:\Windows\System32\GskmNqK.exe
C:\Windows\System32\GskmNqK.exe
2⤵
PID:8704

C:\Windows\System32\czrQNGO.exe
C:\Windows\System32\czrQNGO.exe
2⤵
PID:8728

C:\Windows\System32\VcdgPrY.exe
C:\Windows\System32\VcdgPrY.exe
2⤵
PID:8760

C:\Windows\System32\yEqBnhn.exe
C:\Windows\System32\yEqBnhn.exe
2⤵
PID:8788

C:\Windows\System32\AiRRKBb.exe
C:\Windows\System32\AiRRKBb.exe
2⤵
PID:8812

C:\Windows\System32\HjRQwFA.exe
C:\Windows\System32\HjRQwFA.exe
2⤵
PID:8832

C:\Windows\System32\PXPCkQk.exe
C:\Windows\System32\PXPCkQk.exe
2⤵
PID:8872

C:\Windows\System32\qnRDcJo.exe
C:\Windows\System32\qnRDcJo.exe
2⤵
PID:8892

C:\Windows\System32\kwNyumX.exe
C:\Windows\System32\kwNyumX.exe
2⤵
PID:8924

C:\Windows\System32\BnEARbX.exe
C:\Windows\System32\BnEARbX.exe
2⤵
PID:8952

C:\Windows\System32\tsrHxvb.exe
C:\Windows\System32\tsrHxvb.exe
2⤵
PID:8972

C:\Windows\System32\RtOVPAE.exe
C:\Windows\System32\RtOVPAE.exe
2⤵
PID:9008

C:\Windows\System32\RESLOFB.exe
C:\Windows\System32\RESLOFB.exe
2⤵
PID:9040

C:\Windows\System32\OcvSrWc.exe
C:\Windows\System32\OcvSrWc.exe
2⤵
PID:9076

C:\Windows\System32\mAJJOIq.exe
C:\Windows\System32\mAJJOIq.exe
2⤵
PID:9092

C:\Windows\System32\uVyeiRq.exe
C:\Windows\System32\uVyeiRq.exe
2⤵
PID:9116

C:\Windows\System32\tgTHwSe.exe
C:\Windows\System32\tgTHwSe.exe
2⤵
PID:9140

C:\Windows\System32\wGKpJLN.exe
C:\Windows\System32\wGKpJLN.exe
2⤵
PID:9192

C:\Windows\System32\YWFDxXX.exe
C:\Windows\System32\YWFDxXX.exe
2⤵
PID:9212

C:\Windows\System32\mvjkBIh.exe
C:\Windows\System32\mvjkBIh.exe
2⤵
PID:8224

C:\Windows\System32\deYFeNw.exe
C:\Windows\System32\deYFeNw.exe
2⤵
PID:8288

C:\Windows\System32\ogzoQDS.exe
C:\Windows\System32\ogzoQDS.exe
2⤵
PID:8316

C:\Windows\System32\HwZwnWy.exe
C:\Windows\System32\HwZwnWy.exe
2⤵
PID:8364

C:\Windows\System32\BeqEVHV.exe
C:\Windows\System32\BeqEVHV.exe
2⤵
PID:8416

C:\Windows\System32\pEXqVBa.exe
C:\Windows\System32\pEXqVBa.exe
2⤵
PID:8488

C:\Windows\System32\cLElSMv.exe
C:\Windows\System32\cLElSMv.exe
2⤵
PID:8524

C:\Windows\System32\boDRgjD.exe
C:\Windows\System32\boDRgjD.exe
2⤵
PID:8600

C:\Windows\System32\IzFEsQP.exe
C:\Windows\System32\IzFEsQP.exe
2⤵
PID:8592

C:\Windows\System32\ydZMzbw.exe
C:\Windows\System32\ydZMzbw.exe
2⤵
PID:8752

C:\Windows\System32\MxtKLvo.exe
C:\Windows\System32\MxtKLvo.exe
2⤵
PID:8848

C:\Windows\System32\QNyEBoM.exe
C:\Windows\System32\QNyEBoM.exe
2⤵
PID:8916

C:\Windows\System32\tVDvPkf.exe
C:\Windows\System32\tVDvPkf.exe
2⤵
PID:9000

C:\Windows\System32\OrJLBEA.exe
C:\Windows\System32\OrJLBEA.exe
2⤵
PID:9052

C:\Windows\System32\QdHGXLt.exe
C:\Windows\System32\QdHGXLt.exe
2⤵
PID:9124

C:\Windows\System32\wvEXPqG.exe
C:\Windows\System32\wvEXPqG.exe
2⤵
PID:9200

C:\Windows\System32\kGPIeOO.exe
C:\Windows\System32\kGPIeOO.exe
2⤵
PID:7652

C:\Windows\System32\cUjiSrX.exe
C:\Windows\System32\cUjiSrX.exe
2⤵
PID:8244

C:\Windows\System32\HDiNmrD.exe
C:\Windows\System32\HDiNmrD.exe
2⤵
PID:8528

C:\Windows\System32\zYatvNj.exe
C:\Windows\System32\zYatvNj.exe
2⤵
PID:8784

C:\Windows\System32\CGWYsGZ.exe
C:\Windows\System32\CGWYsGZ.exe
2⤵
PID:8904

C:\Windows\System32\GpOmpyR.exe
C:\Windows\System32\GpOmpyR.exe
2⤵
PID:9068

C:\Windows\System32\SSUbwqi.exe
C:\Windows\System32\SSUbwqi.exe
2⤵
PID:9164

C:\Windows\System32\dQbqwps.exe
C:\Windows\System32\dQbqwps.exe
2⤵
PID:8484

C:\Windows\System32\QttskRa.exe
C:\Windows\System32\QttskRa.exe
2⤵
PID:8828

C:\Windows\System32\mSldfIa.exe
C:\Windows\System32\mSldfIa.exe
2⤵
PID:9084

C:\Windows\System32\fKPIIKJ.exe
C:\Windows\System32\fKPIIKJ.exe
2⤵
PID:2348

C:\Windows\System32\KjSBCgY.exe
C:\Windows\System32\KjSBCgY.exe
2⤵
PID:9240

C:\Windows\System32\ajuBBZs.exe
C:\Windows\System32\ajuBBZs.exe
2⤵
PID:9260

C:\Windows\System32\tBLcCAE.exe
C:\Windows\System32\tBLcCAE.exe
2⤵
PID:9284

C:\Windows\System32\PkLgGWD.exe
C:\Windows\System32\PkLgGWD.exe
2⤵
PID:9308

C:\Windows\System32\XSwYIka.exe
C:\Windows\System32\XSwYIka.exe
2⤵
PID:9344

C:\Windows\System32\VyvpZsv.exe
C:\Windows\System32\VyvpZsv.exe
2⤵
PID:9368

C:\Windows\System32\cNzDlSp.exe
C:\Windows\System32\cNzDlSp.exe
2⤵
PID:9388

C:\Windows\System32\OiZMQMX.exe
C:\Windows\System32\OiZMQMX.exe
2⤵
PID:9408

C:\Windows\System32\qmlQlHD.exe
C:\Windows\System32\qmlQlHD.exe
2⤵
PID:9432

C:\Windows\System32\oVBWcSt.exe
C:\Windows\System32\oVBWcSt.exe
2⤵
PID:9480

C:\Windows\System32\oCIJhAR.exe
C:\Windows\System32\oCIJhAR.exe
2⤵
PID:9512

C:\Windows\System32\DtXEioH.exe
C:\Windows\System32\DtXEioH.exe
2⤵
PID:9532

C:\Windows\System32\rGyJDeU.exe
C:\Windows\System32\rGyJDeU.exe
2⤵
PID:9560

C:\Windows\System32\ZrDLBmc.exe
C:\Windows\System32\ZrDLBmc.exe
2⤵
PID:9596

C:\Windows\System32\PRABeCz.exe
C:\Windows\System32\PRABeCz.exe
2⤵
PID:9624

C:\Windows\System32\GRCOEKD.exe
C:\Windows\System32\GRCOEKD.exe
2⤵
PID:9648

C:\Windows\System32\aZzDGky.exe
C:\Windows\System32\aZzDGky.exe
2⤵
PID:9680

C:\Windows\System32\ecoZmhf.exe
C:\Windows\System32\ecoZmhf.exe
2⤵
PID:9708

C:\Windows\System32\lERItNV.exe
C:\Windows\System32\lERItNV.exe
2⤵
PID:9728

C:\Windows\System32\SZBXquA.exe
C:\Windows\System32\SZBXquA.exe
2⤵
PID:9748

C:\Windows\System32\vQfsyny.exe
C:\Windows\System32\vQfsyny.exe
2⤵
PID:9776

C:\Windows\System32\RvnTjOM.exe
C:\Windows\System32\RvnTjOM.exe
2⤵
PID:9812

C:\Windows\System32\qsqFbyN.exe
C:\Windows\System32\qsqFbyN.exe
2⤵
PID:9848

C:\Windows\System32\jIRbHDi.exe
C:\Windows\System32\jIRbHDi.exe
2⤵
PID:9876

C:\Windows\System32\egscWCn.exe
C:\Windows\System32\egscWCn.exe
2⤵
PID:9904

C:\Windows\System32\cdgBWrh.exe
C:\Windows\System32\cdgBWrh.exe
2⤵
PID:9940

C:\Windows\System32\mMbdAUs.exe
C:\Windows\System32\mMbdAUs.exe
2⤵
PID:9968

C:\Windows\System32\HfxAUnt.exe
C:\Windows\System32\HfxAUnt.exe
2⤵
PID:9992

C:\Windows\System32\nuOVPKP.exe
C:\Windows\System32\nuOVPKP.exe
2⤵
PID:10020

C:\Windows\System32\YMHIrGM.exe
C:\Windows\System32\YMHIrGM.exe
2⤵
PID:10040

C:\Windows\System32\lcMwsfO.exe
C:\Windows\System32\lcMwsfO.exe
2⤵
PID:10080

C:\Windows\System32\nsEneVF.exe
C:\Windows\System32\nsEneVF.exe
2⤵
PID:10104

C:\Windows\System32\niYrtFc.exe
C:\Windows\System32\niYrtFc.exe
2⤵
PID:10136

C:\Windows\System32\qapnely.exe
C:\Windows\System32\qapnely.exe
2⤵
PID:10160

C:\Windows\System32\ZCIPrfT.exe
C:\Windows\System32\ZCIPrfT.exe
2⤵
PID:10180

C:\Windows\System32\sxcLqtW.exe
C:\Windows\System32\sxcLqtW.exe
2⤵
PID:10228

C:\Windows\System32\ESzDhWY.exe
C:\Windows\System32\ESzDhWY.exe
2⤵
PID:8096

C:\Windows\System32\RJOLIhk.exe
C:\Windows\System32\RJOLIhk.exe
2⤵
PID:9280

C:\Windows\System32\MvIeaaM.exe
C:\Windows\System32\MvIeaaM.exe
2⤵
PID:9340

C:\Windows\System32\LdLwAlL.exe
C:\Windows\System32\LdLwAlL.exe
2⤵
PID:9400

C:\Windows\System32\IaGkgxn.exe
C:\Windows\System32\IaGkgxn.exe
2⤵
PID:9460

C:\Windows\System32\PdILOuy.exe
C:\Windows\System32\PdILOuy.exe
2⤵
PID:9544

C:\Windows\System32\ncyOhLv.exe
C:\Windows\System32\ncyOhLv.exe
2⤵
PID:9612

C:\Windows\System32\bTcbJJc.exe
C:\Windows\System32\bTcbJJc.exe
2⤵
PID:9668

C:\Windows\System32\jNnAkWS.exe
C:\Windows\System32\jNnAkWS.exe
2⤵
PID:9720

C:\Windows\System32\AXtcweM.exe
C:\Windows\System32\AXtcweM.exe
2⤵
PID:9788

C:\Windows\System32\Cgdtzct.exe
C:\Windows\System32\Cgdtzct.exe
2⤵
PID:9856

C:\Windows\System32\WbysNAg.exe
C:\Windows\System32\WbysNAg.exe
2⤵
PID:10000

C:\Windows\System32\rcNUhXR.exe
C:\Windows\System32\rcNUhXR.exe
2⤵
PID:10056

C:\Windows\System32\uhljVip.exe
C:\Windows\System32\uhljVip.exe
2⤵
PID:10196

C:\Windows\System32\uMKMRlV.exe
C:\Windows\System32\uMKMRlV.exe
2⤵
PID:10236

C:\Windows\System32\hnUUncI.exe
C:\Windows\System32\hnUUncI.exe
2⤵
PID:9256

C:\Windows\System32\vjEpBmL.exe
C:\Windows\System32\vjEpBmL.exe
2⤵
PID:9376

C:\Windows\System32\tZveehf.exe
C:\Windows\System32\tZveehf.exe
2⤵
PID:9508

C:\Windows\System32\XwlKsfL.exe
C:\Windows\System32\XwlKsfL.exe
2⤵
PID:9716

C:\Windows\System32\zWqUiXi.exe
C:\Windows\System32\zWqUiXi.exe
2⤵
PID:9840

C:\Windows\System32\uLNAjmE.exe
C:\Windows\System32\uLNAjmE.exe
2⤵
PID:9936

C:\Windows\System32\SkgTlFs.exe
C:\Windows\System32\SkgTlFs.exe
2⤵
PID:9988

C:\Windows\System32\eUiCZoE.exe
C:\Windows\System32\eUiCZoE.exe
2⤵
PID:10004

C:\Windows\System32\pciwhaX.exe
C:\Windows\System32\pciwhaX.exe
2⤵
PID:9664

C:\Windows\System32\iDOnret.exe
C:\Windows\System32\iDOnret.exe
2⤵
PID:9500

C:\Windows\System32\YzUEZiT.exe
C:\Windows\System32\YzUEZiT.exe
2⤵
PID:9864

C:\Windows\System32\MqadVOj.exe
C:\Windows\System32\MqadVOj.exe
2⤵
PID:9952

C:\Windows\System32\VZOTFcp.exe
C:\Windows\System32\VZOTFcp.exe
2⤵
PID:10260

C:\Windows\System32\CxAKZna.exe
C:\Windows\System32\CxAKZna.exe
2⤵
PID:10284

C:\Windows\System32\qaNblTF.exe
C:\Windows\System32\qaNblTF.exe
2⤵
PID:10324

C:\Windows\System32\NjnUefS.exe
C:\Windows\System32\NjnUefS.exe
2⤵
PID:10348

C:\Windows\System32\fDlgeNE.exe
C:\Windows\System32\fDlgeNE.exe
2⤵
PID:10372

C:\Windows\System32\UVESKXB.exe
C:\Windows\System32\UVESKXB.exe
2⤵
PID:10392

C:\Windows\System32\awRfnLS.exe
C:\Windows\System32\awRfnLS.exe
2⤵
PID:10412

C:\Windows\System32\wdwBDCk.exe
C:\Windows\System32\wdwBDCk.exe
2⤵
PID:10440

C:\Windows\System32\VoaTRBG.exe
C:\Windows\System32\VoaTRBG.exe
2⤵
PID:10468

C:\Windows\System32\fubxYMu.exe
C:\Windows\System32\fubxYMu.exe
2⤵
PID:10488

C:\Windows\System32\cwZPPVF.exe
C:\Windows\System32\cwZPPVF.exe
2⤵
PID:10516

C:\Windows\System32\wGtLTXZ.exe
C:\Windows\System32\wGtLTXZ.exe
2⤵
PID:10548

C:\Windows\System32\jkcqHlG.exe
C:\Windows\System32\jkcqHlG.exe
2⤵
PID:10616

C:\Windows\System32\bByUvTF.exe
C:\Windows\System32\bByUvTF.exe
2⤵
PID:10632

C:\Windows\System32\ChULbPX.exe
C:\Windows\System32\ChULbPX.exe
2⤵
PID:10656

C:\Windows\System32\ZUEJqBk.exe
C:\Windows\System32\ZUEJqBk.exe
2⤵
PID:10692

C:\Windows\System32\WOdZGwa.exe
C:\Windows\System32\WOdZGwa.exe
2⤵
PID:10716

C:\Windows\System32\MBRydYn.exe
C:\Windows\System32\MBRydYn.exe
2⤵
PID:10740

C:\Windows\System32\LkGNtqS.exe
C:\Windows\System32\LkGNtqS.exe
2⤵
PID:10764

C:\Windows\System32\MqfdmJr.exe
C:\Windows\System32\MqfdmJr.exe
2⤵
PID:10808

C:\Windows\System32\Onhtxxz.exe
C:\Windows\System32\Onhtxxz.exe
2⤵
PID:10828

C:\Windows\System32\kARULHG.exe
C:\Windows\System32\kARULHG.exe
2⤵
PID:10848

C:\Windows\System32\MFqoKDO.exe
C:\Windows\System32\MFqoKDO.exe
2⤵
PID:10884

C:\Windows\System32\RlVerBY.exe
C:\Windows\System32\RlVerBY.exe
2⤵
PID:10912

C:\Windows\System32\eAAqPhu.exe
C:\Windows\System32\eAAqPhu.exe
2⤵
PID:10940

C:\Windows\System32\TZkouae.exe
C:\Windows\System32\TZkouae.exe
2⤵
PID:10964

C:\Windows\System32\SmAqliH.exe
C:\Windows\System32\SmAqliH.exe
2⤵
PID:10996

C:\Windows\System32\fucXSKC.exe
C:\Windows\System32\fucXSKC.exe
2⤵
PID:11012

C:\Windows\System32\mTrueGg.exe
C:\Windows\System32\mTrueGg.exe
2⤵
PID:11036

C:\Windows\System32\EjxGLBZ.exe
C:\Windows\System32\EjxGLBZ.exe
2⤵
PID:11060

C:\Windows\System32\tNSsKCL.exe
C:\Windows\System32\tNSsKCL.exe
2⤵
PID:11084

C:\Windows\System32\RAETZTi.exe
C:\Windows\System32\RAETZTi.exe
2⤵
PID:11128

C:\Windows\System32\bmhVdfA.exe
C:\Windows\System32\bmhVdfA.exe
2⤵
PID:11156

C:\Windows\System32\GdFKoFa.exe
C:\Windows\System32\GdFKoFa.exe
2⤵
PID:11204

C:\Windows\System32\dSsYGNh.exe
C:\Windows\System32\dSsYGNh.exe
2⤵
PID:11220

C:\Windows\System32\NWxDnJe.exe
C:\Windows\System32\NWxDnJe.exe
2⤵
PID:11248

C:\Windows\System32\CBVzeqA.exe
C:\Windows\System32\CBVzeqA.exe
2⤵
PID:9892

C:\Windows\System32\vYBrKJS.exe
C:\Windows\System32\vYBrKJS.exe
2⤵
PID:10276

C:\Windows\System32\dzwUWCv.exe
C:\Windows\System32\dzwUWCv.exe
2⤵
PID:10368

C:\Windows\System32\kBrFuWs.exe
C:\Windows\System32\kBrFuWs.exe
2⤵
PID:10420

C:\Windows\System32\ZFInlor.exe
C:\Windows\System32\ZFInlor.exe
2⤵
PID:10512

C:\Windows\System32\FvBxxKA.exe
C:\Windows\System32\FvBxxKA.exe
2⤵
PID:10560

C:\Windows\System32\NnyOcaN.exe
C:\Windows\System32\NnyOcaN.exe
2⤵
PID:10624

C:\Windows\System32\QXayyOq.exe
C:\Windows\System32\QXayyOq.exe
2⤵
PID:10680

C:\Windows\System32\gvSWbIh.exe
C:\Windows\System32\gvSWbIh.exe
2⤵
PID:10760

C:\Windows\System32\HhnWNZs.exe
C:\Windows\System32\HhnWNZs.exe
2⤵
PID:10824

C:\Windows\System32\inQBzOd.exe
C:\Windows\System32\inQBzOd.exe
2⤵
PID:10868

C:\Windows\System32\vTUkPoL.exe
C:\Windows\System32\vTUkPoL.exe
2⤵
PID:10936

C:\Windows\System32\kvDBFmp.exe
C:\Windows\System32\kvDBFmp.exe
2⤵
PID:10980

C:\Windows\System32\EMjmUgq.exe
C:\Windows\System32\EMjmUgq.exe
2⤵
PID:11068

C:\Windows\System32\JbjbNId.exe
C:\Windows\System32\JbjbNId.exe
2⤵
PID:11100

C:\Windows\System32\UTcVnTT.exe
C:\Windows\System32\UTcVnTT.exe
2⤵
PID:11164

C:\Windows\System32\TSTNOAX.exe
C:\Windows\System32\TSTNOAX.exe
2⤵
PID:11240

C:\Windows\System32\CugGMWW.exe
C:\Windows\System32\CugGMWW.exe
2⤵
PID:10252

C:\Windows\System32\ncqhMHh.exe
C:\Windows\System32\ncqhMHh.exe
2⤵
PID:10388

C:\Windows\System32\mAVNSlr.exe
C:\Windows\System32\mAVNSlr.exe
2⤵
PID:10664

C:\Windows\System32\RLZOqIb.exe
C:\Windows\System32\RLZOqIb.exe
2⤵
PID:10728

C:\Windows\System32\jfBNVWh.exe
C:\Windows\System32\jfBNVWh.exe
2⤵
PID:10924

C:\Windows\System32\pNOmnQK.exe
C:\Windows\System32\pNOmnQK.exe
2⤵
PID:11028

C:\Windows\System32\hiaqTaO.exe
C:\Windows\System32\hiaqTaO.exe
2⤵
PID:9468

C:\Windows\System32\hHRrBwo.exe
C:\Windows\System32\hHRrBwo.exe
2⤵
PID:10452

C:\Windows\System32\DltNPUk.exe
C:\Windows\System32\DltNPUk.exe
2⤵
PID:10712

C:\Windows\System32\lRUBKhE.exe
C:\Windows\System32\lRUBKhE.exe
2⤵
PID:11148

C:\Windows\System32\silWBAQ.exe
C:\Windows\System32\silWBAQ.exe
2⤵
PID:10896

C:\Windows\System32\PCZDvvn.exe
C:\Windows\System32\PCZDvvn.exe
2⤵
PID:11272

C:\Windows\System32\XYQIucs.exe
C:\Windows\System32\XYQIucs.exe
2⤵
PID:11292

C:\Windows\System32\sUYYytR.exe
C:\Windows\System32\sUYYytR.exe
2⤵
PID:11320

C:\Windows\System32\ItYQDrC.exe
C:\Windows\System32\ItYQDrC.exe
2⤵
PID:11344

C:\Windows\System32\bfwDaTG.exe
C:\Windows\System32\bfwDaTG.exe
2⤵
PID:11372

C:\Windows\System32\cuQgObX.exe
C:\Windows\System32\cuQgObX.exe
2⤵
PID:11416

C:\Windows\System32\xuimQtJ.exe
C:\Windows\System32\xuimQtJ.exe
2⤵
PID:11460

C:\Windows\System32\RlMZwiy.exe
C:\Windows\System32\RlMZwiy.exe
2⤵
PID:11480

C:\Windows\System32\CtafOqf.exe
C:\Windows\System32\CtafOqf.exe
2⤵
PID:11500

C:\Windows\System32\NKXHixB.exe
C:\Windows\System32\NKXHixB.exe
2⤵
PID:11536

C:\Windows\System32\ahNEsGL.exe
C:\Windows\System32\ahNEsGL.exe
2⤵
PID:11560

C:\Windows\System32\nMbhjOz.exe
C:\Windows\System32\nMbhjOz.exe
2⤵
PID:11592

C:\Windows\System32\oyrumYs.exe
C:\Windows\System32\oyrumYs.exe
2⤵
PID:11620

C:\Windows\System32\qKeKxJz.exe
C:\Windows\System32\qKeKxJz.exe
2⤵
PID:11660

C:\Windows\System32\kLYybLa.exe
C:\Windows\System32\kLYybLa.exe
2⤵
PID:11676

C:\Windows\System32\hopbFiW.exe
C:\Windows\System32\hopbFiW.exe
2⤵
PID:11700

C:\Windows\System32\yixYciC.exe
C:\Windows\System32\yixYciC.exe
2⤵
PID:11728

C:\Windows\System32\wJeyoOY.exe
C:\Windows\System32\wJeyoOY.exe
2⤵
PID:11760

C:\Windows\System32\KMMFBWT.exe
C:\Windows\System32\KMMFBWT.exe
2⤵
PID:11784

C:\Windows\System32\SzZmwBi.exe
C:\Windows\System32\SzZmwBi.exe
2⤵
PID:11800

C:\Windows\System32\bWnsomu.exe
C:\Windows\System32\bWnsomu.exe
2⤵
PID:11820

C:\Windows\System32\tWrAFgE.exe
C:\Windows\System32\tWrAFgE.exe
2⤵
PID:11840

C:\Windows\System32\VpHBwed.exe
C:\Windows\System32\VpHBwed.exe
2⤵
PID:11876

C:\Windows\System32\VQmmObi.exe
C:\Windows\System32\VQmmObi.exe
2⤵
PID:11940

C:\Windows\System32\RWgcbcY.exe
C:\Windows\System32\RWgcbcY.exe
2⤵
PID:11956

C:\Windows\System32\schmCxx.exe
C:\Windows\System32\schmCxx.exe
2⤵
PID:11980

C:\Windows\System32\KWRfqOc.exe
C:\Windows\System32\KWRfqOc.exe
2⤵
PID:11996

C:\Windows\System32\ErmYWEr.exe
C:\Windows\System32\ErmYWEr.exe
2⤵
PID:12032

C:\Windows\System32\CUotgwv.exe
C:\Windows\System32\CUotgwv.exe
2⤵
PID:12076

C:\Windows\System32\PqQLoRZ.exe
C:\Windows\System32\PqQLoRZ.exe
2⤵
PID:12100

C:\Windows\System32\eBkiRxm.exe
C:\Windows\System32\eBkiRxm.exe
2⤵
PID:12136

C:\Windows\System32\DMevlNz.exe
C:\Windows\System32\DMevlNz.exe
2⤵
PID:12152

C:\Windows\System32\CefpSHN.exe
C:\Windows\System32\CefpSHN.exe
2⤵
PID:12180

C:\Windows\System32\GAkDlDv.exe
C:\Windows\System32\GAkDlDv.exe
2⤵
PID:12212

C:\Windows\System32\vFDZYWh.exe
C:\Windows\System32\vFDZYWh.exe
2⤵
PID:12236

C:\Windows\System32\ckentfX.exe
C:\Windows\System32\ckentfX.exe
2⤵
PID:12276

C:\Windows\System32\xhTkalW.exe
C:\Windows\System32\xhTkalW.exe
2⤵
PID:11268

C:\Windows\System32\dFUuoJH.exe
C:\Windows\System32\dFUuoJH.exe
2⤵
PID:11308

C:\Windows\System32\ipEGbAS.exe
C:\Windows\System32\ipEGbAS.exe
2⤵
PID:11392

C:\Windows\System32\FYUqMNx.exe
C:\Windows\System32\FYUqMNx.exe
2⤵
PID:11452

C:\Windows\System32\SfhyLPF.exe
C:\Windows\System32\SfhyLPF.exe
2⤵
PID:11496

C:\Windows\System32\ESGARqJ.exe
C:\Windows\System32\ESGARqJ.exe
2⤵
PID:11548

C:\Windows\System32\hAopnLO.exe
C:\Windows\System32\hAopnLO.exe
2⤵
PID:11656

C:\Windows\System32\gNxxBuU.exe
C:\Windows\System32\gNxxBuU.exe
2⤵
PID:11708

C:\Windows\System32\BpbXYup.exe
C:\Windows\System32\BpbXYup.exe
2⤵
PID:11772

C:\Windows\System32\xUzITKE.exe
C:\Windows\System32\xUzITKE.exe
2⤵
PID:11812

C:\Windows\System32\tghNxie.exe
C:\Windows\System32\tghNxie.exe
2⤵
PID:11920

C:\Windows\System32\xHpJSGN.exe
C:\Windows\System32\xHpJSGN.exe
2⤵
PID:12016

C:\Windows\System32\IrdKKJF.exe
C:\Windows\System32\IrdKKJF.exe
2⤵
PID:12072

C:\Windows\System32\OQTqiQK.exe
C:\Windows\System32\OQTqiQK.exe
2⤵
PID:12144

C:\Windows\System32\gvJCGLY.exe
C:\Windows\System32\gvJCGLY.exe
2⤵
PID:12204

C:\Windows\System32\BxGOFmg.exe
C:\Windows\System32\BxGOFmg.exe
2⤵
PID:12268

C:\Windows\System32\Gldicnm.exe
C:\Windows\System32\Gldicnm.exe
2⤵
PID:11368

C:\Windows\System32\oTtkhHX.exe
C:\Windows\System32\oTtkhHX.exe
2⤵
PID:11512

C:\Windows\System32\SwiFyQc.exe
C:\Windows\System32\SwiFyQc.exe
2⤵
PID:11640

C:\Windows\System32\bxzFyvc.exe
C:\Windows\System32\bxzFyvc.exe
2⤵
PID:11752

C:\Windows\System32\rPxgfZS.exe
C:\Windows\System32\rPxgfZS.exe
2⤵
PID:11848

C:\Windows\System32\RzsvScy.exe
C:\Windows\System32\RzsvScy.exe
2⤵
PID:12244

C:\Windows\System32\zokVmAa.exe
C:\Windows\System32\zokVmAa.exe
2⤵
PID:11288

C:\Windows\System32\ziJFVJt.exe
C:\Windows\System32\ziJFVJt.exe
2⤵
PID:10384

C:\Windows\System32\tqLDgVM.exe
C:\Windows\System32\tqLDgVM.exe
2⤵
PID:12192

C:\Windows\System32\KaoSxqx.exe
C:\Windows\System32\KaoSxqx.exe
2⤵
PID:4376

C:\Windows\System32\nwGbKTB.exe
C:\Windows\System32\nwGbKTB.exe
2⤵
PID:11476

C:\Windows\System32\ULeZVYY.exe
C:\Windows\System32\ULeZVYY.exe
2⤵
PID:12028

C:\Windows\System32\rGBFWXD.exe
C:\Windows\System32\rGBFWXD.exe
2⤵
PID:12296

C:\Windows\System32\GjvkjzB.exe
C:\Windows\System32\GjvkjzB.exe
2⤵
PID:12320

C:\Windows\System32\WwjoMEa.exe
C:\Windows\System32\WwjoMEa.exe
2⤵
PID:12340

C:\Windows\System32\DUVcVMd.exe
C:\Windows\System32\DUVcVMd.exe
2⤵
PID:12380

C:\Windows\System32\NLCvpzo.exe
C:\Windows\System32\NLCvpzo.exe
2⤵
PID:12404

C:\Windows\System32\ozdlLHv.exe
C:\Windows\System32\ozdlLHv.exe
2⤵
PID:12428

C:\Windows\System32\wltvhZs.exe
C:\Windows\System32\wltvhZs.exe
2⤵
PID:12448

C:\Windows\System32\GmefQMJ.exe
C:\Windows\System32\GmefQMJ.exe
2⤵
PID:12476

C:\Windows\System32\vMjmBTt.exe
C:\Windows\System32\vMjmBTt.exe
2⤵
PID:12516

C:\Windows\System32\pLBHfAI.exe
C:\Windows\System32\pLBHfAI.exe
2⤵
PID:12548

C:\Windows\System32\cwulVvX.exe
C:\Windows\System32\cwulVvX.exe
2⤵
PID:12580

C:\Windows\System32\ltRCkew.exe
C:\Windows\System32\ltRCkew.exe
2⤵
PID:12608

C:\Windows\System32\amxcdtT.exe
C:\Windows\System32\amxcdtT.exe
2⤵
PID:12644

C:\Windows\System32\cvuAvsc.exe
C:\Windows\System32\cvuAvsc.exe
2⤵
PID:12660

C:\Windows\System32\QOOGzye.exe
C:\Windows\System32\QOOGzye.exe
2⤵
PID:12684

C:\Windows\System32\NItWQlw.exe
C:\Windows\System32\NItWQlw.exe
2⤵
PID:12712

C:\Windows\System32\clQLPNZ.exe
C:\Windows\System32\clQLPNZ.exe
2⤵
PID:12736

C:\Windows\System32\gVNJmcd.exe
C:\Windows\System32\gVNJmcd.exe
2⤵
PID:12772

C:\Windows\System32\VVWMukS.exe
C:\Windows\System32\VVWMukS.exe
2⤵
PID:12804

C:\Windows\System32\HDriLio.exe
C:\Windows\System32\HDriLio.exe
2⤵
PID:12828

C:\Windows\System32\BukMajB.exe
C:\Windows\System32\BukMajB.exe
2⤵
PID:12856

C:\Windows\System32\kfazoZE.exe
C:\Windows\System32\kfazoZE.exe
2⤵
PID:12888

C:\Windows\System32\jVGlZcr.exe
C:\Windows\System32\jVGlZcr.exe
2⤵
PID:12912

C:\Windows\System32\iDZGIEp.exe
C:\Windows\System32\iDZGIEp.exe
2⤵
PID:12932

C:\Windows\System32\iUAWpAI.exe
C:\Windows\System32\iUAWpAI.exe
2⤵
PID:12956

C:\Windows\System32\HDlRhnk.exe
C:\Windows\System32\HDlRhnk.exe
2⤵
PID:12984

C:\Windows\System32\iRBYQin.exe
C:\Windows\System32\iRBYQin.exe
2⤵
PID:13020

C:\Windows\System32\nrodEIm.exe
C:\Windows\System32\nrodEIm.exe
2⤵
PID:13036

C:\Windows\System32\zBzCggt.exe
C:\Windows\System32\zBzCggt.exe
2⤵
PID:13084

C:\Windows\System32\qIUMiyr.exe
C:\Windows\System32\qIUMiyr.exe
2⤵
PID:13120

C:\Windows\System32\VDzdSeK.exe
C:\Windows\System32\VDzdSeK.exe
2⤵
PID:13136

C:\Windows\System32\uiaEMuo.exe
C:\Windows\System32\uiaEMuo.exe
2⤵
PID:13180

C:\Windows\System32\YCEiUnB.exe
C:\Windows\System32\YCEiUnB.exe
2⤵
PID:13196

C:\Windows\System32\HnFSuEh.exe
C:\Windows\System32\HnFSuEh.exe
2⤵
PID:13220

C:\Windows\System32\JrqZSsI.exe
C:\Windows\System32\JrqZSsI.exe
2⤵
PID:13248

C:\Windows\System32\ZJTKbmD.exe
C:\Windows\System32\ZJTKbmD.exe
2⤵
PID:13280

C:\Windows\System32\CecbcKg.exe
C:\Windows\System32\CecbcKg.exe
2⤵
PID:13304

C:\Windows\System32\OUCxrOG.exe
C:\Windows\System32\OUCxrOG.exe
2⤵
PID:12336

C:\Windows\System32\IJVuHmN.exe
C:\Windows\System32\IJVuHmN.exe
2⤵
PID:12400

C:\Windows\System32\EjecWWe.exe
C:\Windows\System32\EjecWWe.exe
2⤵
PID:12444

C:\Windows\System32\qsiBOfZ.exe
C:\Windows\System32\qsiBOfZ.exe
2⤵
PID:12544

C:\Windows\System32\YdVADkK.exe
C:\Windows\System32\YdVADkK.exe
2⤵
PID:12592

C:\Windows\System32\gbewzVS.exe
C:\Windows\System32\gbewzVS.exe
2⤵
PID:12636

C:\Windows\System32\EFdUoLn.exe
C:\Windows\System32\EFdUoLn.exe
2⤵
PID:12708

C:\Windows\System32\cuxNNjG.exe
C:\Windows\System32\cuxNNjG.exe
2⤵
PID:12752

C:\Windows\System32\PCLCKvd.exe
C:\Windows\System32\PCLCKvd.exe
2⤵
PID:12844

C:\Windows\System32\JSwdCss.exe
C:\Windows\System32\JSwdCss.exe
2⤵
PID:12900

C:\Windows\System32\tczfDrj.exe
C:\Windows\System32\tczfDrj.exe
2⤵
PID:12964

C:\Windows\System32\ERDOgoz.exe
C:\Windows\System32\ERDOgoz.exe
2⤵
PID:13004

C:\Windows\System32\ixUbjqX.exe
C:\Windows\System32\ixUbjqX.exe
2⤵
PID:13104

C:\Windows\System32\vCvaIrI.exe
C:\Windows\System32\vCvaIrI.exe
2⤵
PID:13128

C:\Windows\System32\maIGxxX.exe
C:\Windows\System32\maIGxxX.exe
2⤵
PID:13240

C:\Windows\System32\zFgutxp.exe
C:\Windows\System32\zFgutxp.exe
2⤵
PID:13296

C:\Windows\System32\hjxhThO.exe
C:\Windows\System32\hjxhThO.exe
2⤵
PID:12376

C:\Windows\System32\iQcovHy.exe
C:\Windows\System32\iQcovHy.exe
2⤵
PID:12576

C:\Windows\System32\gqDLSPx.exe
C:\Windows\System32\gqDLSPx.exe
2⤵
PID:12784

C:\Windows\System32\sRdyavj.exe
C:\Windows\System32\sRdyavj.exe
2⤵
PID:12920

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:5024

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\DxPyTma.exe
Filesize
1.8MB

MD5
f524e84dfb9d150049b98c8ef444515b

SHA1
d9d0a8d7ce5dec98d1f12274890dd8acbe4339a3

SHA256
432719155ff0bc52282cb52c3c6667d21120053e52965d304158b66362ebc7e1

SHA512
944df503c11a460d2a6f1e5ff0f1ccc500d04f7490260db9721cc4a280446de6f59c9d48b1e1c0bec64fc89252a235600c02add254be2557250a42723360ea9d

Download Submit
C:\Windows\System32\DyofAXx.exe
Filesize
1.8MB

MD5
767ec7b2a83f6b4de2ba7d5dca6de91c

SHA1
d9c535da1558a1dca3d25ddb92d778231a1fe128

SHA256
a21b8b96bd735969cbcf8184dc2e1c6b8c9a4bb31ad0a23597a46b527b997d89

SHA512
cdd9031916a44f2614d4540f04509e98da5ed45c82077c6e392369f522f9d1a38b93dc331dcb467f7cc1da2baa716d2ce962d6d58c7a4d7430ffe7fb4b119fab

Download Submit
C:\Windows\System32\FZbXGSy.exe
Filesize
1.8MB

MD5
ae051102c63fd53b150e87d19b8d5852

SHA1
fcd845b219cade1ffc39efc93a884cb6e1a71889

SHA256
15af5c42bc0e3dfb28a89ac8101ab48d8c1d68d139595618941e801e79507db6

SHA512
561b033404d93abc224f439bee936615549dd0bed6ec8389eafe2f5fa3e934748340ccade434c2c74f311fa4431cc0384cccd87adaa009909605b7796241872b

Download Submit
C:\Windows\System32\FjFMEqL.exe
Filesize
1.8MB

MD5
6677fd5dd7be20c79b5d8e71f078a346

SHA1
dca28f8617ad2e5be2c36ec97f45f6decf8559b8

SHA256
7b9825d2e49ed30938ec2b29e94130d580ac106f00e4c740c0808a4e17409a6d

SHA512
72d79bb913683d11694d899fa1f46717075e332ed42171867059b3518b1531d3b0fce5603c451306cab8375099f43afd3502be38a821572d44bfc8b7544baf2b

Download Submit
C:\Windows\System32\HzKzBQf.exe
Filesize
1.8MB

MD5
0376fe782b79c8e3be53883c93282fa1

SHA1
56c037371d8a5f7d4a0c61d9cade8a91353a736f

SHA256
03558cb4370c4f3abc2dea6273afed2ae8c0b1adaf5bc6aa326f8d2ae3440e6b

SHA512
755c52a2a99dce9f17d41971ff7b6a8f4288d03f0b7bfe4f1d065edfa5eb9955271737a304a10e8e220088c776048e982b5a6a5e4491ba0685dfdbd05a220d24

Download Submit
C:\Windows\System32\JiaLQrm.exe
Filesize
1.8MB

MD5
71c9bcfa91cdc5de54c11250bc12a6c6

SHA1
c32e2739507ba2b0dbec74d3143a7b5c5c362e6d

SHA256
d9e4d6f0706ab195b90ddaf025dc7a790c49408f3f1646578ca0eec3247cbaad

SHA512
8d0f5a4c2986eb0ce6aabb0d5d1047a6da5097f4190081d5c3b30d9e8e3cf25b05cd5ff917c0e8366f66418651e2294f73325dadbd44055341d8e81b82d695cb

Download Submit
C:\Windows\System32\KVabpBF.exe
Filesize
1.8MB

MD5
b660a154466e67eb695ea92506abd6a8

SHA1
26ae85f7bf4f67a4c4772e68820f050d2e95c078

SHA256
057cfff89955b4151e2580bcd231354f513bd1b9f95080af8116453c6e2f0ff1

SHA512
62335cefb686c07e057c4799e39f797f44fd089c8f57c4db95e42265b53d10f71e0b754c3cbc361ea8b0a3c9a6be5ef1ffc9555736d3a1bb5f726b57457a208a

Download Submit
C:\Windows\System32\LAoVYOs.exe
Filesize
1.8MB

MD5
3e8038a57a8b8b7bd66129c662b58394

SHA1
f878cb90e1be407bf1b0a24ee26c76db416fc344

SHA256
45602b3d0a62cb010a6f96edd5a46e98dd391278544e2fec11fe9c6062dfc259

SHA512
edb7126e9618bf7b017263cf562c823298bfda2e6f859b16904bb126565e79dc55e4f4efeb9e44c83373c1d803f09b1706ba03016e9131c2c02a8dac7809dec8

Download Submit
C:\Windows\System32\MtwbbkR.exe
Filesize
1.8MB

MD5
c812608958e221d348fc64ac9122edbb

SHA1
6c0f560b9a9839b2b71f757cc284c345600950bb

SHA256
af6dd3186c5e23faa2de458ada99f15aee6b370766e5ffbd076bd548adcef84e

SHA512
605e8086f3ea3d519057f4ed6110a7b8f60687bb25fbd820c0fee87f5b2e8a29670ddfba3c1069004da799a2e0889dde41166eac5c3224471c3bc5286cbb1bbc

Download Submit
C:\Windows\System32\NUyYUOT.exe
Filesize
1.8MB

MD5
ccd7887c189bf85baac35026f568ebc7

SHA1
71ddf1f56e0e0a5315c6cb3b9d2b45443a289a2c

SHA256
06eddb2194cabd33f5453ac59f2c70b1c73ccde63c35dce0d4b79c112981fffd

SHA512
c5b2acef6bef9b7b3708653476c281493bc733c3905782e276ae5dc9df334f637df280d9d4daf63e7722ff4c68473e33330276044ef9d946417d06403779acd4

Download Submit
C:\Windows\System32\OuHkljn.exe
Filesize
1.8MB

MD5
48ac63e2b2061993462f817548108324

SHA1
ba5658eaa4ad80f616f8fb17f7189aae29cb69e1

SHA256
0c4820a6f5a703b634d1394cf50596c4c22c90b3d117d617a76361bff67dac53

SHA512
d59e3f43c4584cb1624a8635564dfbd6ddb3c2cf9e9fc9da8d872a0e1b2a2cd03195963f4d4a3aac47dbe34cf259a5649be37c47d75037009a2ffe8c68e5686c

Download Submit
C:\Windows\System32\PkKxhzM.exe
Filesize
1.8MB

MD5
80917938ffb8c4350104b48fabf9ca44

SHA1
8c05ed7b97da3caf48c375c1d0094958631e4a29

SHA256
abe318b794192e07b72be01b5a495715aea35205704d78a90841fea2585c5b03

SHA512
dd6fcbf176b6db66a7822456cb1a63524dd9f428ad018a33b484960f88e0834dc8d321430a74a214078f18bbc567c0d2e40740bdb9ecda0cb532f600d23f6288

Download Submit
C:\Windows\System32\ZCNSLEk.exe
Filesize
1.8MB

MD5
3f3186ff7605b8244aa100f9a28deb94

SHA1
01bc41b5162de35ee5e15539aa802f086875a2c5

SHA256
750061d1e91f94cb9099946def1d1031135cea3ba8ffd33978759b5b01b53d31

SHA512
03df510707560f7635952a9ae84ea13498533fe375069b76af2e1e79e32a5c7cc21f5a7cbe456f799b5d225e6ae7a50c9f7dc7e90fe19b665c5063da666bd635

Download Submit
C:\Windows\System32\ZEymbSE.exe
Filesize
1.8MB

MD5
24e771b4798ce0438d49da7457f85b83

SHA1
477baa1137adc768ea34a9f7794cfb312255fd40

SHA256
875a6baae4b6cc70cff06737f0c035d40cc5ad00c5d4fae80774dba3c4eb5083

SHA512
103543eecff482aa2f0632edfca19df054e8b061629557dfe25203999bc688086485a2979fa9edaab0d1c175c3e9279c29ff1b41f36b6036416e4a08a397d74c

Download Submit
C:\Windows\System32\ZQRgGHt.exe
Filesize
1.8MB

MD5
b6ece2a03206b8519dbc0257e8bb84fe

SHA1
ed0533b6cd6e4b9b8d943560e5d053c64d8b224e

SHA256
e595872e6b10753ba001e4d60d31d164dbed91f131e01c39c24dac4bda6ca88d

SHA512
4fad966134e82ad681f3287063f1a2a00ab4006861855778b096de7d2fed2dab68c47ea0809759d648431dff1bb2ef405c8bc52d3a887b47cf681f00057fb2da

Download Submit
C:\Windows\System32\ZzaXSSP.exe
Filesize
1.8MB

MD5
610e8d1d81efe323788919fb9d09ff1c

SHA1
be331e07dea939a59eef94ad02a587b408d81ec1

SHA256
1bb797eff59c4e6c5d6b6a3984161def6d57d61b34b57a92ae9b1293f0984b99

SHA512
7853d2d6c7df38407752f419e3e96404926ba93bf4389f00208d2771b678a7a12aba5843aedb39a7c814fdab26245a2d87c169229da88da3a0c6b58d9485976d

Download Submit
C:\Windows\System32\aEgmXJc.exe
Filesize
1.8MB

MD5
db7c273e008f379f20fef81d3f2ff64c

SHA1
cc552125251000bbebbcf1810d55b7737c1a0fc8

SHA256
5c4a97c0b5274edb243e91a14d5f45eefd6865b7dea6d7a11806bb349f8112e7

SHA512
8ca536255d9c9218d6cfac2ccdbf5047f4afa92a9ee7d02bb756c2898af92c433c5487b5e774dafe0eec0d973a3a0688d1d3875c09c9f14fd4a63e3aa8f2ef23

Download Submit
C:\Windows\System32\aGqtMcD.exe
Filesize
1.8MB

MD5
d1c8276468d6fbe955e7bd23a14e97ce

SHA1
7a9b0a575b9fdc0cd27b3b16e1e655f507165ea9

SHA256
94d3ca56bb0c4296023f7af8708f59d66c5a67e85c1eef5448563b95d9b657ac

SHA512
7a15dcc58975bafc5a410c9272761e8169bb56284f85e36fbd33a1515fd6b98e6e4ba4defc3e82662dd7465802d0b26e792a40817912509ed322b22ca5064385

Download Submit
C:\Windows\System32\asqCXRw.exe
Filesize
1.8MB

MD5
649581d6d8f45b4a638a361a2cef7d70

SHA1
81735295b7e67790ccde84c3d0b77c32ea4fd63a

SHA256
313ce5a5399edb4777f0fe136dd9821b46deabc8d5615e9ba361b024bbc295f9

SHA512
ae0a7991b88c0db62c599e62f7351bd9e7837c22e25f9b9b0c3b0533af641d2b05213ceae711a75703dc55ce5946d12049425dfb6ff44f541804a388c467ae1d

Download Submit
C:\Windows\System32\dIKtXob.exe
Filesize
1.8MB

MD5
6cb561073dc9ab633bf09c2e2ab98b3f

SHA1
5f08a9a19c793dc1433ce5d6d069dca01155370c

SHA256
093e1f39678b556506f13c3ed5722518ba835345a7b82d99f80b5714aa9f5260

SHA512
3c47d13232dee55ada8167e41abf1f90dd2f19cbd397117ad23eb80216d4f231177e61aa35a02cc99828a66b8f4faaf4fd947b37084eb3a0509f411e78344cad

Download Submit
C:\Windows\System32\dwJOWCH.exe
Filesize
1.8MB

MD5
1fa84c776a1bfbe4c75c30878c46dccd

SHA1
2d5e69f25b899ac57c698fab2ea1861604dc79c9

SHA256
500653dd17ed96e62866d1303e19ebdbcbe1a0198f35762f70f48828d0095093

SHA512
ab1aae87350a683867c7d54b451044e63924b06c117a8981cae26db1d506abd34083e748db1176ebb054b82e3a2598e36a380a589987e52c8d631438ac828f35

Download Submit
C:\Windows\System32\kAVqEau.exe
Filesize
1.8MB

MD5
eeae3dafac6b1362bea49bec59933e36

SHA1
38278de5083271d519e2070dee5d6472e16ba164

SHA256
248c7bf8671423a7be3e1774374b00f284312376da0d8e3b52b3946fa06acfb7

SHA512
c19ccf2468f9b74deb6fc18d005d9b36d456346f550c646bae9a36c2d6651fbad9f722a5de3677968eb0288ad1edff10e74e167f4fa2e87e96f6793ce8458f69

Download Submit
C:\Windows\System32\kLFlSJm.exe
Filesize
1.8MB

MD5
e762ccdadb9cc325c286c9279bc049ab

SHA1
abafe6c46512923c6596d78b55cbee352c9155e4

SHA256
1b2d50f52c0271405a44e49c8d80151b0f774ea80547c46db2a56dd3f6f34b07

SHA512
9bba1489ce51bf7e68caf40bfe4287a72ad8f432cf6bf470962a240eb9cd0f685cd581d5f229f7debf52efc9d6ed5f0321f8d24f6bc74677b5f6fcf27d4155c2

Download Submit
C:\Windows\System32\kdOBQsM.exe
Filesize
1.8MB

MD5
0aa66a4d3e6254f72e08810c0fd3c7f0

SHA1
6e643cea8955b0e27c2a3ff44c3c7a5f8922aabd

SHA256
a181be7ede0a109d992277c9cac3bf9025a6bd4549c824dd354434c6790e7790

SHA512
e65cce48fd93e147732f450e61ec8490a24c5d2348a6cd9f329db44807682cadf742ca7c2547fa68cf8fa3958bf51c619c928b9f70f441edc76bb1fa9219a536

Download Submit
C:\Windows\System32\knzaYuy.exe
Filesize
1.8MB

MD5
7ba25bf8a5a69ea731ef28b44a72155f

SHA1
8bc00b7cd04446ed0e0b184907e296a565db2dd3

SHA256
6b6bb470e6bfd292932d9678e190f597e259437d8c03d0f05e01494b1b61251c

SHA512
e1998c5d2019d1939646e7b9d71855bd91bcd33d67fee4086d91f6422c663e7f4b2b7693a4fbd7ac55fc45753f4bff2e7d0e8019132b940c2b1100ebd0d5bf8e

Download Submit
C:\Windows\System32\mKWQnvw.exe
Filesize
1.8MB

MD5
702b520d99bd3d7abc02d706f4606ea2

SHA1
7b0a853514a5213e8119639cebcf53096be62faf

SHA256
8e3a9db03b959859124b0928b0feb50ad2c3fe27c71e55b927bbee542f432627

SHA512
e5171916c2838440883c53cc11365aab0f5b1f2826b1d227804dfb79cc2b4129f650c3ff45f04787822fd50135ddaf5f0e20fcfddae4018b7b4d79e52cb98e02

Download Submit
C:\Windows\System32\qtjgblN.exe
Filesize
1.8MB

MD5
ffd76ef0d39feb6387d91df225ffe121

SHA1
9c11a0bad8b82969bf322b7a6fd78224eb192de3

SHA256
4df5dd50df0c45f0124564c1d39f467d746a389a955db4f16a4ae512905a2335

SHA512
862ee68b73cc16220f96144215916a2740eabb0afe2d7d9fd55a3c1c18773e32a5d9bd2ba844703d9480c0f2a124481778255c8b4900662fa5b7911d58d0edde

Download Submit
C:\Windows\System32\rnKqaCN.exe
Filesize
1.8MB

MD5
19c63ffaabd94064f7458c136a2de75d

SHA1
a63829696d1eee26daa0f2c713942f140438b93e

SHA256
93da3a25da0d5b8f6619966f4289c9b62f0224e0a1abc8bc53c7d2946b216381

SHA512
84ac7c287b57e290835f3051175712a62a21d768f724628749dbe2fc8c46e733bd06834bf1b0d50818a52be22c51bb63b0bea9da251864efe31dd91119aa6d0f

Download Submit
C:\Windows\System32\sFFbiNq.exe
Filesize
1.8MB

MD5
bc31348825a46673cc738082e5f579d1

SHA1
fb1c6d533da752f46131110c29067b6332bfc38c

SHA256
1dc6ec9d6663c00153388c321885d9036458aeebf3f62029734b55ee9915b284

SHA512
1c098831a6865878b0a627c035e0a2e7fc57a20f263aa139f252da18ace86a82777f1afdca486694cf7b0f5704efdfca20753652ac7f9c4fdc5348c2e04972e5

Download Submit
C:\Windows\System32\uuElSVH.exe
Filesize
1.8MB

MD5
8fceeb016ac1effddf5b32e0735fef22

SHA1
8412cec6af4800468f8a83fcc3300d6ea3c10e30

SHA256
4d7fb2404404e20b4d5c2becebbf87514d66fbd5fb8320938cdc2a17c891f772

SHA512
0b2738acde2e72f60fa8dfb503ae55aa6fe8c9ddd4ad7dca454a0b3621d7a78a8aa855b7c8437d09626791eab12fd602cfa3173f03f993b5b36913e89a4de4d3

Download Submit
C:\Windows\System32\xdYCXan.exe
Filesize
1.8MB

MD5
8b04837e5d46f5828879ad4a0971da35

SHA1
b9cc77f0f987e78db38abc605d8b6a853bbb1098

SHA256
a64ad17bb6506d6827aa59c1dd0d15c121565dfcb57d66d3421d3da1ef9fb993

SHA512
e21311ef7e16e3167de98d8638c40d64d3900b7af862020382b146de23762edc4b1b944b1a1d9f8fb76608876cd593645c2f3a53349ab44bd27b37b2dd2875a9

Download Submit
C:\Windows\System32\yeBLRsR.exe
Filesize
1.8MB

MD5
883420f70b8e3cc29da3c9cf68274bce

SHA1
bf6518509b53df498644bd92f94cc8eb7594369b

SHA256
3a104da04ad41d7894fd5dc4013050868c564736a531abc742bfdc33e30ba700

SHA512
88eed3b62c8d98f0d44e229b39fc3b9ce0aa424c505a50e3a40a50090e079a84d1ddd8a744d3a9ca26460ee9fc4f17875589573216fc257e9ced8744d9da1a9a

Download Submit
memory/8-356-0x00007FF696800000-0x00007FF696BF1000-memory.dmp

Filesize
3.9MB

Download
memory/8-2079-0x00007FF696800000-0x00007FF696BF1000-memory.dmp

Filesize
3.9MB

Download
memory/836-334-0x00007FF6D49D0000-0x00007FF6D4DC1000-memory.dmp

Filesize
3.9MB

Download
memory/836-2077-0x00007FF6D49D0000-0x00007FF6D4DC1000-memory.dmp

Filesize
3.9MB

Download
memory/940-2053-0x00007FF7FE840000-0x00007FF7FEC31000-memory.dmp

Filesize
3.9MB

Download
memory/940-37-0x00007FF7FE840000-0x00007FF7FEC31000-memory.dmp

Filesize
3.9MB

Download
memory/964-296-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp

Filesize
3.9MB

Download
memory/964-2002-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp

Filesize
3.9MB

Download
memory/964-2057-0x00007FF7A65A0000-0x00007FF7A6991000-memory.dmp

Filesize
3.9MB

Download
memory/1528-2065-0x00007FF609EC0000-0x00007FF60A2B1000-memory.dmp

Filesize
3.9MB

Download
memory/1528-311-0x00007FF609EC0000-0x00007FF60A2B1000-memory.dmp

Filesize
3.9MB

Download
memory/2044-1699-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp

Filesize
3.9MB

Download
memory/2044-2043-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp

Filesize
3.9MB

Download
memory/2044-8-0x00007FF76A630000-0x00007FF76AA21000-memory.dmp

Filesize
3.9MB

Download
memory/2324-28-0x00007FF7378F0000-0x00007FF737CE1000-memory.dmp

Filesize
3.9MB

Download
memory/2324-2049-0x00007FF7378F0000-0x00007FF737CE1000-memory.dmp

Filesize
3.9MB

Download
memory/2932-2045-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp

Filesize
3.9MB

Download
memory/2932-1700-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp

Filesize
3.9MB

Download
memory/2932-17-0x00007FF7C1AD0000-0x00007FF7C1EC1000-memory.dmp

Filesize
3.9MB

Download
memory/3040-2047-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp

Filesize
3.9MB

Download
memory/3040-21-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp

Filesize
3.9MB

Download
memory/3040-1702-0x00007FF78ADC0000-0x00007FF78B1B1000-memory.dmp

Filesize
3.9MB

Download
memory/3076-2063-0x00007FF67D640000-0x00007FF67DA31000-memory.dmp

Filesize
3.9MB

Download
memory/3076-309-0x00007FF67D640000-0x00007FF67DA31000-memory.dmp

Filesize
3.9MB

Download
memory/3104-2051-0x00007FF7A9740000-0x00007FF7A9B31000-memory.dmp

Filesize
3.9MB

Download
memory/3104-39-0x00007FF7A9740000-0x00007FF7A9B31000-memory.dmp

Filesize
3.9MB

Download
memory/3240-2086-0x00007FF7E0EA0000-0x00007FF7E1291000-memory.dmp

Filesize
3.9MB

Download
memory/3240-346-0x00007FF7E0EA0000-0x00007FF7E1291000-memory.dmp

Filesize
3.9MB

Download
memory/3296-337-0x00007FF738540000-0x00007FF738931000-memory.dmp

Filesize
3.9MB

Download
memory/3296-2083-0x00007FF738540000-0x00007FF738931000-memory.dmp

Filesize
3.9MB

Download
memory/3560-2055-0x00007FF6E4040000-0x00007FF6E4431000-memory.dmp

Filesize
3.9MB

Download
memory/3560-359-0x00007FF6E4040000-0x00007FF6E4431000-memory.dmp

Filesize
3.9MB

Download
memory/3568-2069-0x00007FF6BFF60000-0x00007FF6C0351000-memory.dmp

Filesize
3.9MB

Download
memory/3568-320-0x00007FF6BFF60000-0x00007FF6C0351000-memory.dmp

Filesize
3.9MB

Download
memory/3812-2067-0x00007FF676840000-0x00007FF676C31000-memory.dmp

Filesize
3.9MB

Download
memory/3812-315-0x00007FF676840000-0x00007FF676C31000-memory.dmp

Filesize
3.9MB

Download
memory/3928-2061-0x00007FF76AF00000-0x00007FF76B2F1000-memory.dmp

Filesize
3.9MB

Download
memory/3928-300-0x00007FF76AF00000-0x00007FF76B2F1000-memory.dmp

Filesize
3.9MB

Download
memory/4456-0-0x00007FF775890000-0x00007FF775C81000-memory.dmp

Filesize
3.9MB

Download
memory/4456-2026-0x00007FF775890000-0x00007FF775C81000-memory.dmp

Filesize
3.9MB

Download
memory/4456-856-0x00007FF775890000-0x00007FF775C81000-memory.dmp

Filesize
3.9MB

Download
memory/4456-1-0x000001C35F8F0000-0x000001C35F900000-memory.dmp

Filesize
64KB

Download
memory/4516-2090-0x00007FF68E320000-0x00007FF68E711000-memory.dmp

Filesize
3.9MB

Download
memory/4516-349-0x00007FF68E320000-0x00007FF68E711000-memory.dmp

Filesize
3.9MB

Download
memory/4688-2075-0x00007FF6C3280000-0x00007FF6C3671000-memory.dmp

Filesize
3.9MB

Download
memory/4688-324-0x00007FF6C3280000-0x00007FF6C3671000-memory.dmp

Filesize
3.9MB

Download
memory/4700-298-0x00007FF667EF0000-0x00007FF6682E1000-memory.dmp

Filesize
3.9MB

Download
memory/4700-2059-0x00007FF667EF0000-0x00007FF6682E1000-memory.dmp

Filesize
3.9MB

Download
memory/4760-353-0x00007FF75C7E0000-0x00007FF75CBD1000-memory.dmp

Filesize
3.9MB

Download
memory/4760-2081-0x00007FF75C7E0000-0x00007FF75CBD1000-memory.dmp

Filesize
3.9MB

Download
memory/4896-316-0x00007FF723E40000-0x00007FF724231000-memory.dmp

Filesize
3.9MB

Download
memory/4896-2071-0x00007FF723E40000-0x00007FF724231000-memory.dmp

Filesize
3.9MB

Download
memory/4964-319-0x00007FF61EC00000-0x00007FF61EFF1000-memory.dmp

Filesize
3.9MB

Download
memory/4964-2073-0x00007FF61EC00000-0x00007FF61EFF1000-memory.dmp

Filesize
3.9MB

Download
memory/5072-2088-0x00007FF79E720000-0x00007FF79EB11000-memory.dmp

Filesize
3.9MB

Download
memory/5072-339-0x00007FF79E720000-0x00007FF79EB11000-memory.dmp

Filesize
3.9MB

Download