Analysis

  • max time kernel
    149s
  • max time network
    122s
  • platform
    windows7_x64
  • resource
    win7-20240508-en
  • resource tags

    arch:x64arch:x86image:win7-20240508-enlocale:en-usos:windows7-x64system
  • submitted
    23-06-2024 12:34

General

  • Target

    06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe

  • Size

    471KB

  • MD5

    06026e4203f13fffe9d741a6872a75ae

  • SHA1

    4bd5ff87c0efda2cafd1cb3254f46955d52a12ec

  • SHA256

    ec530b5f552febe9631fb4d1fd90e74ef21be4093eb9cde42657bf2dfeb6a486

  • SHA512

    37e9d3bf7a38fc16b323c49034f0c754dcd09d2c6c6679b4226bf9d8a659867b2ca27a8d2798f3e0a0ef1f3641761664a6d6b9a6a69ed84b4d2881a8324d3962

  • SSDEEP

    6144:IFeLlS5FZCAv2wFR24biJjWti/9q7R/ck6pSDy4N5q39dVdnNn1u9/TPr5P6uzPY:CD6AvTFgJVWt49y5YeE8RhpQetCT

Malware Config

Extracted

Family

metasploit

Version

encoder/call4_dword_xor

Signatures

  • MetaSploit

    Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.

  • Executes dropped EXE 64 IoCs
  • Loads dropped DLL 64 IoCs
  • Drops file in System32 directory 64 IoCs
  • Suspicious use of SetThreadContext 64 IoCs
  • Suspicious use of WriteProcessMemory 64 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe
    "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
    1⤵
    • Suspicious use of SetThreadContext
    • Suspicious use of WriteProcessMemory
    PID:2180
    • C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe
      "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
      2⤵
      • Loads dropped DLL
      • Suspicious use of WriteProcessMemory
      PID:848
      • C:\Windows\SysWOW64\bynbkf.exe
        C:\Windows\system32\bynbkf.exe 488 "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
        3⤵
        • Executes dropped EXE
        • Loads dropped DLL
        • Suspicious use of SetThreadContext
        • Suspicious use of WriteProcessMemory
        PID:2132
        • C:\Windows\SysWOW64\bynbkf.exe
          C:\Windows\system32\bynbkf.exe 488 "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
          4⤵
          • Executes dropped EXE
          • Loads dropped DLL
          • Suspicious use of WriteProcessMemory
          PID:2796
          • C:\Windows\SysWOW64\sywbda.exe
            C:\Windows\system32\sywbda.exe 452 "C:\Windows\SysWOW64\bynbkf.exe"
            5⤵
            • Executes dropped EXE
            • Loads dropped DLL
            • Suspicious use of SetThreadContext
            • Suspicious use of WriteProcessMemory
            PID:2540
            • C:\Windows\SysWOW64\sywbda.exe
              C:\Windows\system32\sywbda.exe 452 "C:\Windows\SysWOW64\bynbkf.exe"
              6⤵
              • Executes dropped EXE
              • Loads dropped DLL
              • Suspicious use of WriteProcessMemory
              PID:2528
              • C:\Windows\SysWOW64\yquelx.exe
                C:\Windows\system32\yquelx.exe 452 "C:\Windows\SysWOW64\sywbda.exe"
                7⤵
                • Executes dropped EXE
                • Loads dropped DLL
                • Suspicious use of SetThreadContext
                • Suspicious use of WriteProcessMemory
                PID:1728
                • C:\Windows\SysWOW64\yquelx.exe
                  C:\Windows\system32\yquelx.exe 452 "C:\Windows\SysWOW64\sywbda.exe"
                  8⤵
                  • Executes dropped EXE
                  • Loads dropped DLL
                  • Suspicious use of WriteProcessMemory
                  PID:2880
                  • C:\Windows\SysWOW64\xumzbr.exe
                    C:\Windows\system32\xumzbr.exe 452 "C:\Windows\SysWOW64\yquelx.exe"
                    9⤵
                    • Executes dropped EXE
                    • Loads dropped DLL
                    • Suspicious use of SetThreadContext
                    • Suspicious use of WriteProcessMemory
                    PID:308
                    • C:\Windows\SysWOW64\xumzbr.exe
                      C:\Windows\system32\xumzbr.exe 452 "C:\Windows\SysWOW64\yquelx.exe"
                      10⤵
                      • Executes dropped EXE
                      • Loads dropped DLL
                      • Drops file in System32 directory
                      PID:652
                      • C:\Windows\SysWOW64\hapmfl.exe
                        C:\Windows\system32\hapmfl.exe 452 "C:\Windows\SysWOW64\xumzbr.exe"
                        11⤵
                        • Executes dropped EXE
                        • Loads dropped DLL
                        • Suspicious use of SetThreadContext
                        PID:2836
                        • C:\Windows\SysWOW64\hapmfl.exe
                          C:\Windows\system32\hapmfl.exe 452 "C:\Windows\SysWOW64\xumzbr.exe"
                          12⤵
                          • Executes dropped EXE
                          • Loads dropped DLL
                          • Drops file in System32 directory
                          PID:620
                          • C:\Windows\SysWOW64\qtdudr.exe
                            C:\Windows\system32\qtdudr.exe 452 "C:\Windows\SysWOW64\hapmfl.exe"
                            13⤵
                            • Executes dropped EXE
                            • Loads dropped DLL
                            • Suspicious use of SetThreadContext
                            PID:2064
                            • C:\Windows\SysWOW64\qtdudr.exe
                              C:\Windows\system32\qtdudr.exe 452 "C:\Windows\SysWOW64\hapmfl.exe"
                              14⤵
                              • Executes dropped EXE
                              • Loads dropped DLL
                              PID:2916
                              • C:\Windows\SysWOW64\wliptf.exe
                                C:\Windows\system32\wliptf.exe 452 "C:\Windows\SysWOW64\qtdudr.exe"
                                15⤵
                                • Executes dropped EXE
                                • Loads dropped DLL
                                • Suspicious use of SetThreadContext
                                PID:708
                                • C:\Windows\SysWOW64\wliptf.exe
                                  C:\Windows\system32\wliptf.exe 452 "C:\Windows\SysWOW64\qtdudr.exe"
                                  16⤵
                                  • Executes dropped EXE
                                  • Loads dropped DLL
                                  • Drops file in System32 directory
                                  PID:1816
                                  • C:\Windows\SysWOW64\defscc.exe
                                    C:\Windows\system32\defscc.exe 452 "C:\Windows\SysWOW64\wliptf.exe"
                                    17⤵
                                    • Executes dropped EXE
                                    • Loads dropped DLL
                                    • Suspicious use of SetThreadContext
                                    PID:2460
                                    • C:\Windows\SysWOW64\defscc.exe
                                      C:\Windows\system32\defscc.exe 452 "C:\Windows\SysWOW64\wliptf.exe"
                                      18⤵
                                      • Executes dropped EXE
                                      • Loads dropped DLL
                                      • Drops file in System32 directory
                                      PID:1316
                                      • C:\Windows\SysWOW64\nkifxe.exe
                                        C:\Windows\system32\nkifxe.exe 452 "C:\Windows\SysWOW64\defscc.exe"
                                        19⤵
                                        • Executes dropped EXE
                                        • Loads dropped DLL
                                        • Suspicious use of SetThreadContext
                                        PID:928
                                        • C:\Windows\SysWOW64\nkifxe.exe
                                          C:\Windows\system32\nkifxe.exe 452 "C:\Windows\SysWOW64\defscc.exe"
                                          20⤵
                                          • Executes dropped EXE
                                          • Loads dropped DLL
                                          • Drops file in System32 directory
                                          PID:1844
                                          • C:\Windows\SysWOW64\lacvdw.exe
                                            C:\Windows\system32\lacvdw.exe 452 "C:\Windows\SysWOW64\nkifxe.exe"
                                            21⤵
                                            • Executes dropped EXE
                                            • Loads dropped DLL
                                            • Suspicious use of SetThreadContext
                                            PID:1500
                                            • C:\Windows\SysWOW64\lacvdw.exe
                                              C:\Windows\system32\lacvdw.exe 452 "C:\Windows\SysWOW64\nkifxe.exe"
                                              22⤵
                                              • Executes dropped EXE
                                              • Loads dropped DLL
                                              PID:1588
                                              • C:\Windows\SysWOW64\ddzyht.exe
                                                C:\Windows\system32\ddzyht.exe 452 "C:\Windows\SysWOW64\lacvdw.exe"
                                                23⤵
                                                • Executes dropped EXE
                                                • Loads dropped DLL
                                                • Suspicious use of SetThreadContext
                                                PID:1644
                                                • C:\Windows\SysWOW64\ddzyht.exe
                                                  C:\Windows\system32\ddzyht.exe 452 "C:\Windows\SysWOW64\lacvdw.exe"
                                                  24⤵
                                                  • Executes dropped EXE
                                                  • Loads dropped DLL
                                                  • Drops file in System32 directory
                                                  PID:2960
                                                  • C:\Windows\SysWOW64\udzgfc.exe
                                                    C:\Windows\system32\udzgfc.exe 452 "C:\Windows\SysWOW64\ddzyht.exe"
                                                    25⤵
                                                    • Executes dropped EXE
                                                    • Loads dropped DLL
                                                    • Suspicious use of SetThreadContext
                                                    PID:2904
                                                    • C:\Windows\SysWOW64\udzgfc.exe
                                                      C:\Windows\system32\udzgfc.exe 452 "C:\Windows\SysWOW64\ddzyht.exe"
                                                      26⤵
                                                      • Executes dropped EXE
                                                      • Loads dropped DLL
                                                      PID:2752
                                                      • C:\Windows\SysWOW64\iljigt.exe
                                                        C:\Windows\system32\iljigt.exe 452 "C:\Windows\SysWOW64\udzgfc.exe"
                                                        27⤵
                                                        • Executes dropped EXE
                                                        • Loads dropped DLL
                                                        • Suspicious use of SetThreadContext
                                                        PID:2560
                                                        • C:\Windows\SysWOW64\iljigt.exe
                                                          C:\Windows\system32\iljigt.exe 452 "C:\Windows\SysWOW64\udzgfc.exe"
                                                          28⤵
                                                          • Executes dropped EXE
                                                          • Loads dropped DLL
                                                          • Drops file in System32 directory
                                                          PID:3000
                                                          • C:\Windows\SysWOW64\cjivdl.exe
                                                            C:\Windows\system32\cjivdl.exe 452 "C:\Windows\SysWOW64\iljigt.exe"
                                                            29⤵
                                                            • Executes dropped EXE
                                                            • Loads dropped DLL
                                                            • Suspicious use of SetThreadContext
                                                            PID:2868
                                                            • C:\Windows\SysWOW64\cjivdl.exe
                                                              C:\Windows\system32\cjivdl.exe 452 "C:\Windows\SysWOW64\iljigt.exe"
                                                              30⤵
                                                              • Executes dropped EXE
                                                              • Loads dropped DLL
                                                              PID:2980
                                                              • C:\Windows\SysWOW64\wazjzw.exe
                                                                C:\Windows\system32\wazjzw.exe 452 "C:\Windows\SysWOW64\cjivdl.exe"
                                                                31⤵
                                                                • Executes dropped EXE
                                                                • Loads dropped DLL
                                                                • Suspicious use of SetThreadContext
                                                                PID:288
                                                                • C:\Windows\SysWOW64\wazjzw.exe
                                                                  C:\Windows\system32\wazjzw.exe 452 "C:\Windows\SysWOW64\cjivdl.exe"
                                                                  32⤵
                                                                  • Executes dropped EXE
                                                                  • Loads dropped DLL
                                                                  PID:1804
                                                                  • C:\Windows\SysWOW64\nwodvs.exe
                                                                    C:\Windows\system32\nwodvs.exe 452 "C:\Windows\SysWOW64\wazjzw.exe"
                                                                    33⤵
                                                                    • Executes dropped EXE
                                                                    • Loads dropped DLL
                                                                    • Suspicious use of SetThreadContext
                                                                    PID:1080
                                                                    • C:\Windows\SysWOW64\nwodvs.exe
                                                                      C:\Windows\system32\nwodvs.exe 452 "C:\Windows\SysWOW64\wazjzw.exe"
                                                                      34⤵
                                                                      • Executes dropped EXE
                                                                      PID:316
                                                                      • C:\Windows\SysWOW64\famgrx.exe
                                                                        C:\Windows\system32\famgrx.exe 452 "C:\Windows\SysWOW64\nwodvs.exe"
                                                                        35⤵
                                                                        • Executes dropped EXE
                                                                        • Suspicious use of SetThreadContext
                                                                        PID:2008
                                                                        • C:\Windows\SysWOW64\famgrx.exe
                                                                          C:\Windows\system32\famgrx.exe 452 "C:\Windows\SysWOW64\nwodvs.exe"
                                                                          36⤵
                                                                          • Executes dropped EXE
                                                                          PID:2264
                                                                          • C:\Windows\SysWOW64\thvjaw.exe
                                                                            C:\Windows\system32\thvjaw.exe 452 "C:\Windows\SysWOW64\famgrx.exe"
                                                                            37⤵
                                                                            • Executes dropped EXE
                                                                            • Suspicious use of SetThreadContext
                                                                            PID:2296
                                                                            • C:\Windows\SysWOW64\thvjaw.exe
                                                                              C:\Windows\system32\thvjaw.exe 452 "C:\Windows\SysWOW64\famgrx.exe"
                                                                              38⤵
                                                                              • Executes dropped EXE
                                                                              PID:664
                                                                              • C:\Windows\SysWOW64\hmchxj.exe
                                                                                C:\Windows\system32\hmchxj.exe 452 "C:\Windows\SysWOW64\thvjaw.exe"
                                                                                39⤵
                                                                                • Executes dropped EXE
                                                                                • Suspicious use of SetThreadContext
                                                                                PID:1132
                                                                                • C:\Windows\SysWOW64\hmchxj.exe
                                                                                  C:\Windows\system32\hmchxj.exe 452 "C:\Windows\SysWOW64\thvjaw.exe"
                                                                                  40⤵
                                                                                  • Executes dropped EXE
                                                                                  PID:1076
                                                                                  • C:\Windows\SysWOW64\zeoxqk.exe
                                                                                    C:\Windows\system32\zeoxqk.exe 452 "C:\Windows\SysWOW64\hmchxj.exe"
                                                                                    41⤵
                                                                                    • Executes dropped EXE
                                                                                    • Suspicious use of SetThreadContext
                                                                                    PID:1768
                                                                                    • C:\Windows\SysWOW64\zeoxqk.exe
                                                                                      C:\Windows\system32\zeoxqk.exe 452 "C:\Windows\SysWOW64\hmchxj.exe"
                                                                                      42⤵
                                                                                      • Executes dropped EXE
                                                                                      PID:1536
                                                                                      • C:\Windows\SysWOW64\fmfzrj.exe
                                                                                        C:\Windows\system32\fmfzrj.exe 452 "C:\Windows\SysWOW64\zeoxqk.exe"
                                                                                        43⤵
                                                                                        • Executes dropped EXE
                                                                                        • Suspicious use of SetThreadContext
                                                                                        PID:1300
                                                                                        • C:\Windows\SysWOW64\fmfzrj.exe
                                                                                          C:\Windows\system32\fmfzrj.exe 452 "C:\Windows\SysWOW64\zeoxqk.exe"
                                                                                          44⤵
                                                                                          • Executes dropped EXE
                                                                                          PID:900
                                                                                          • C:\Windows\SysWOW64\zzlalp.exe
                                                                                            C:\Windows\system32\zzlalp.exe 452 "C:\Windows\SysWOW64\fmfzrj.exe"
                                                                                            45⤵
                                                                                            • Executes dropped EXE
                                                                                            • Suspicious use of SetThreadContext
                                                                                            PID:1792
                                                                                            • C:\Windows\SysWOW64\zzlalp.exe
                                                                                              C:\Windows\system32\zzlalp.exe 452 "C:\Windows\SysWOW64\fmfzrj.exe"
                                                                                              46⤵
                                                                                              • Executes dropped EXE
                                                                                              PID:1992
                                                                                              • C:\Windows\SysWOW64\qkxuuc.exe
                                                                                                C:\Windows\system32\qkxuuc.exe 452 "C:\Windows\SysWOW64\zzlalp.exe"
                                                                                                47⤵
                                                                                                • Executes dropped EXE
                                                                                                • Suspicious use of SetThreadContext
                                                                                                PID:3056
                                                                                                • C:\Windows\SysWOW64\qkxuuc.exe
                                                                                                  C:\Windows\system32\qkxuuc.exe 452 "C:\Windows\SysWOW64\zzlalp.exe"
                                                                                                  48⤵
                                                                                                  • Executes dropped EXE
                                                                                                  PID:2664
                                                                                                  • C:\Windows\SysWOW64\kxlvgi.exe
                                                                                                    C:\Windows\system32\kxlvgi.exe 452 "C:\Windows\SysWOW64\qkxuuc.exe"
                                                                                                    49⤵
                                                                                                    • Executes dropped EXE
                                                                                                    • Suspicious use of SetThreadContext
                                                                                                    PID:2776
                                                                                                    • C:\Windows\SysWOW64\kxlvgi.exe
                                                                                                      C:\Windows\system32\kxlvgi.exe 452 "C:\Windows\SysWOW64\qkxuuc.exe"
                                                                                                      50⤵
                                                                                                      • Executes dropped EXE
                                                                                                      PID:2636
                                                                                                      • C:\Windows\SysWOW64\ctaykf.exe
                                                                                                        C:\Windows\system32\ctaykf.exe 452 "C:\Windows\SysWOW64\kxlvgi.exe"
                                                                                                        51⤵
                                                                                                        • Executes dropped EXE
                                                                                                        • Suspicious use of SetThreadContext
                                                                                                        PID:2672
                                                                                                        • C:\Windows\SysWOW64\ctaykf.exe
                                                                                                          C:\Windows\system32\ctaykf.exe 452 "C:\Windows\SysWOW64\kxlvgi.exe"
                                                                                                          52⤵
                                                                                                          • Executes dropped EXE
                                                                                                          PID:2828
                                                                                                          • C:\Windows\SysWOW64\taifjn.exe
                                                                                                            C:\Windows\system32\taifjn.exe 452 "C:\Windows\SysWOW64\ctaykf.exe"
                                                                                                            53⤵
                                                                                                            • Executes dropped EXE
                                                                                                            • Suspicious use of SetThreadContext
                                                                                                            PID:2548
                                                                                                            • C:\Windows\SysWOW64\taifjn.exe
                                                                                                              C:\Windows\system32\taifjn.exe 452 "C:\Windows\SysWOW64\ctaykf.exe"
                                                                                                              54⤵
                                                                                                              • Executes dropped EXE
                                                                                                              • Drops file in System32 directory
                                                                                                              PID:2208
                                                                                                              • C:\Windows\SysWOW64\hisijn.exe
                                                                                                                C:\Windows\system32\hisijn.exe 452 "C:\Windows\SysWOW64\taifjn.exe"
                                                                                                                55⤵
                                                                                                                • Executes dropped EXE
                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                PID:1860
                                                                                                                • C:\Windows\SysWOW64\hisijn.exe
                                                                                                                  C:\Windows\system32\hisijn.exe 452 "C:\Windows\SysWOW64\taifjn.exe"
                                                                                                                  56⤵
                                                                                                                  • Executes dropped EXE
                                                                                                                  PID:2236
                                                                                                                  • C:\Windows\SysWOW64\wxcgbz.exe
                                                                                                                    C:\Windows\system32\wxcgbz.exe 452 "C:\Windows\SysWOW64\hisijn.exe"
                                                                                                                    57⤵
                                                                                                                    • Executes dropped EXE
                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                    PID:2172
                                                                                                                    • C:\Windows\SysWOW64\wxcgbz.exe
                                                                                                                      C:\Windows\system32\wxcgbz.exe 452 "C:\Windows\SysWOW64\hisijn.exe"
                                                                                                                      58⤵
                                                                                                                      • Executes dropped EXE
                                                                                                                      PID:2504
                                                                                                                      • C:\Windows\SysWOW64\krxvnv.exe
                                                                                                                        C:\Windows\system32\krxvnv.exe 452 "C:\Windows\SysWOW64\wxcgbz.exe"
                                                                                                                        59⤵
                                                                                                                        • Executes dropped EXE
                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                        PID:1304
                                                                                                                        • C:\Windows\SysWOW64\krxvnv.exe
                                                                                                                          C:\Windows\system32\krxvnv.exe 452 "C:\Windows\SysWOW64\wxcgbz.exe"
                                                                                                                          60⤵
                                                                                                                          • Executes dropped EXE
                                                                                                                          PID:2100
                                                                                                                          • C:\Windows\SysWOW64\cjjlgw.exe
                                                                                                                            C:\Windows\system32\cjjlgw.exe 452 "C:\Windows\SysWOW64\krxvnv.exe"
                                                                                                                            61⤵
                                                                                                                            • Executes dropped EXE
                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                            PID:2696
                                                                                                                            • C:\Windows\SysWOW64\cjjlgw.exe
                                                                                                                              C:\Windows\system32\cjjlgw.exe 452 "C:\Windows\SysWOW64\krxvnv.exe"
                                                                                                                              62⤵
                                                                                                                              • Executes dropped EXE
                                                                                                                              • Drops file in System32 directory
                                                                                                                              PID:2228
                                                                                                                              • C:\Windows\SysWOW64\rnqjdr.exe
                                                                                                                                C:\Windows\system32\rnqjdr.exe 452 "C:\Windows\SysWOW64\cjjlgw.exe"
                                                                                                                                63⤵
                                                                                                                                • Executes dropped EXE
                                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                                PID:584
                                                                                                                                • C:\Windows\SysWOW64\rnqjdr.exe
                                                                                                                                  C:\Windows\system32\rnqjdr.exe 452 "C:\Windows\SysWOW64\cjjlgw.exe"
                                                                                                                                  64⤵
                                                                                                                                  • Executes dropped EXE
                                                                                                                                  • Drops file in System32 directory
                                                                                                                                  PID:2928
                                                                                                                                  • C:\Windows\SysWOW64\ajnezn.exe
                                                                                                                                    C:\Windows\system32\ajnezn.exe 452 "C:\Windows\SysWOW64\rnqjdr.exe"
                                                                                                                                    65⤵
                                                                                                                                    • Executes dropped EXE
                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                    PID:2032
                                                                                                                                    • C:\Windows\SysWOW64\ajnezn.exe
                                                                                                                                      C:\Windows\system32\ajnezn.exe 452 "C:\Windows\SysWOW64\rnqjdr.exe"
                                                                                                                                      66⤵
                                                                                                                                      • Executes dropped EXE
                                                                                                                                      PID:1328
                                                                                                                                      • C:\Windows\SysWOW64\oviukr.exe
                                                                                                                                        C:\Windows\system32\oviukr.exe 452 "C:\Windows\SysWOW64\ajnezn.exe"
                                                                                                                                        67⤵
                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                        PID:2900
                                                                                                                                        • C:\Windows\SysWOW64\oviukr.exe
                                                                                                                                          C:\Windows\system32\oviukr.exe 452 "C:\Windows\SysWOW64\ajnezn.exe"
                                                                                                                                          68⤵
                                                                                                                                          • Drops file in System32 directory
                                                                                                                                          PID:2460
                                                                                                                                          • C:\Windows\SysWOW64\gnukdr.exe
                                                                                                                                            C:\Windows\system32\gnukdr.exe 480 "C:\Windows\SysWOW64\oviukr.exe"
                                                                                                                                            69⤵
                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                            PID:2012
                                                                                                                                            • C:\Windows\SysWOW64\gnukdr.exe
                                                                                                                                              C:\Windows\system32\gnukdr.exe 480 "C:\Windows\SysWOW64\oviukr.exe"
                                                                                                                                              70⤵
                                                                                                                                                PID:2128
                                                                                                                                                • C:\Windows\SysWOW64\xjjezo.exe
                                                                                                                                                  C:\Windows\system32\xjjezo.exe 452 "C:\Windows\SysWOW64\gnukdr.exe"
                                                                                                                                                  71⤵
                                                                                                                                                  • Suspicious use of SetThreadContext
                                                                                                                                                  PID:2188
                                                                                                                                                  • C:\Windows\SysWOW64\xjjezo.exe
                                                                                                                                                    C:\Windows\system32\xjjezo.exe 452 "C:\Windows\SysWOW64\gnukdr.exe"
                                                                                                                                                    72⤵
                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                    PID:2952
                                                                                                                                                    • C:\Windows\SysWOW64\mnpcxj.exe
                                                                                                                                                      C:\Windows\system32\mnpcxj.exe 452 "C:\Windows\SysWOW64\xjjezo.exe"
                                                                                                                                                      73⤵
                                                                                                                                                      • Suspicious use of SetThreadContext
                                                                                                                                                      PID:3064
                                                                                                                                                      • C:\Windows\SysWOW64\mnpcxj.exe
                                                                                                                                                        C:\Windows\system32\mnpcxj.exe 452 "C:\Windows\SysWOW64\xjjezo.exe"
                                                                                                                                                        74⤵
                                                                                                                                                          PID:1740
                                                                                                                                                          • C:\Windows\SysWOW64\adhffi.exe
                                                                                                                                                            C:\Windows\system32\adhffi.exe 452 "C:\Windows\SysWOW64\mnpcxj.exe"
                                                                                                                                                            75⤵
                                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                                            PID:2684
                                                                                                                                                            • C:\Windows\SysWOW64\adhffi.exe
                                                                                                                                                              C:\Windows\system32\adhffi.exe 452 "C:\Windows\SysWOW64\mnpcxj.exe"
                                                                                                                                                              76⤵
                                                                                                                                                                PID:2680
                                                                                                                                                                • C:\Windows\SysWOW64\rzwibf.exe
                                                                                                                                                                  C:\Windows\system32\rzwibf.exe 452 "C:\Windows\SysWOW64\adhffi.exe"
                                                                                                                                                                  77⤵
                                                                                                                                                                  • Suspicious use of SetThreadContext
                                                                                                                                                                  PID:2872
                                                                                                                                                                  • C:\Windows\SysWOW64\rzwibf.exe
                                                                                                                                                                    C:\Windows\system32\rzwibf.exe 452 "C:\Windows\SysWOW64\adhffi.exe"
                                                                                                                                                                    78⤵
                                                                                                                                                                      PID:2020
                                                                                                                                                                      • C:\Windows\SysWOW64\jutdxj.exe
                                                                                                                                                                        C:\Windows\system32\jutdxj.exe 452 "C:\Windows\SysWOW64\rzwibf.exe"
                                                                                                                                                                        79⤵
                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                        PID:1520
                                                                                                                                                                        • C:\Windows\SysWOW64\jutdxj.exe
                                                                                                                                                                          C:\Windows\system32\jutdxj.exe 452 "C:\Windows\SysWOW64\rzwibf.exe"
                                                                                                                                                                          80⤵
                                                                                                                                                                            PID:1860
                                                                                                                                                                            • C:\Windows\SysWOW64\xgosif.exe
                                                                                                                                                                              C:\Windows\system32\xgosif.exe 452 "C:\Windows\SysWOW64\jutdxj.exe"
                                                                                                                                                                              81⤵
                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                              PID:2492
                                                                                                                                                                              • C:\Windows\SysWOW64\xgosif.exe
                                                                                                                                                                                C:\Windows\system32\xgosif.exe 452 "C:\Windows\SysWOW64\jutdxj.exe"
                                                                                                                                                                                82⤵
                                                                                                                                                                                  PID:2852
                                                                                                                                                                                  • C:\Windows\SysWOW64\oyaibf.exe
                                                                                                                                                                                    C:\Windows\system32\oyaibf.exe 452 "C:\Windows\SysWOW64\xgosif.exe"
                                                                                                                                                                                    83⤵
                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                    PID:844
                                                                                                                                                                                    • C:\Windows\SysWOW64\oyaibf.exe
                                                                                                                                                                                      C:\Windows\system32\oyaibf.exe 452 "C:\Windows\SysWOW64\xgosif.exe"
                                                                                                                                                                                      84⤵
                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                      PID:2008
                                                                                                                                                                                      • C:\Windows\SysWOW64\fjmddl.exe
                                                                                                                                                                                        C:\Windows\system32\fjmddl.exe 452 "C:\Windows\SysWOW64\oyaibf.exe"
                                                                                                                                                                                        85⤵
                                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                                        PID:2740
                                                                                                                                                                                        • C:\Windows\SysWOW64\fjmddl.exe
                                                                                                                                                                                          C:\Windows\system32\fjmddl.exe 452 "C:\Windows\SysWOW64\oyaibf.exe"
                                                                                                                                                                                          86⤵
                                                                                                                                                                                            PID:2296
                                                                                                                                                                                            • C:\Windows\SysWOW64\ztpquu.exe
                                                                                                                                                                                              C:\Windows\system32\ztpquu.exe 452 "C:\Windows\SysWOW64\fjmddl.exe"
                                                                                                                                                                                              87⤵
                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                              PID:1096
                                                                                                                                                                                              • C:\Windows\SysWOW64\ztpquu.exe
                                                                                                                                                                                                C:\Windows\system32\ztpquu.exe 452 "C:\Windows\SysWOW64\fjmddl.exe"
                                                                                                                                                                                                88⤵
                                                                                                                                                                                                  PID:908
                                                                                                                                                                                                  • C:\Windows\SysWOW64\djiwwk.exe
                                                                                                                                                                                                    C:\Windows\system32\djiwwk.exe 452 "C:\Windows\SysWOW64\ztpquu.exe"
                                                                                                                                                                                                    89⤵
                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                    PID:1140
                                                                                                                                                                                                    • C:\Windows\SysWOW64\djiwwk.exe
                                                                                                                                                                                                      C:\Windows\system32\djiwwk.exe 452 "C:\Windows\SysWOW64\ztpquu.exe"
                                                                                                                                                                                                      90⤵
                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                      PID:768
                                                                                                                                                                                                      • C:\Windows\SysWOW64\uffrah.exe
                                                                                                                                                                                                        C:\Windows\system32\uffrah.exe 452 "C:\Windows\SysWOW64\djiwwk.exe"
                                                                                                                                                                                                        91⤵
                                                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                                                        PID:572
                                                                                                                                                                                                        • C:\Windows\SysWOW64\uffrah.exe
                                                                                                                                                                                                          C:\Windows\system32\uffrah.exe 452 "C:\Windows\SysWOW64\djiwwk.exe"
                                                                                                                                                                                                          92⤵
                                                                                                                                                                                                            PID:1820
                                                                                                                                                                                                            • C:\Windows\SysWOW64\oalzmv.exe
                                                                                                                                                                                                              C:\Windows\system32\oalzmv.exe 452 "C:\Windows\SysWOW64\uffrah.exe"
                                                                                                                                                                                                              93⤵
                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                              PID:1972
                                                                                                                                                                                                              • C:\Windows\SysWOW64\oalzmv.exe
                                                                                                                                                                                                                C:\Windows\system32\oalzmv.exe 452 "C:\Windows\SysWOW64\uffrah.exe"
                                                                                                                                                                                                                94⤵
                                                                                                                                                                                                                  PID:2756
                                                                                                                                                                                                                  • C:\Windows\SysWOW64\gzthtw.exe
                                                                                                                                                                                                                    C:\Windows\system32\gzthtw.exe 452 "C:\Windows\SysWOW64\oalzmv.exe"
                                                                                                                                                                                                                    95⤵
                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                    PID:1780
                                                                                                                                                                                                                    • C:\Windows\SysWOW64\gzthtw.exe
                                                                                                                                                                                                                      C:\Windows\system32\gzthtw.exe 452 "C:\Windows\SysWOW64\oalzmv.exe"
                                                                                                                                                                                                                      96⤵
                                                                                                                                                                                                                        PID:2624
                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ueswrr.exe
                                                                                                                                                                                                                          C:\Windows\system32\ueswrr.exe 452 "C:\Windows\SysWOW64\gzthtw.exe"
                                                                                                                                                                                                                          97⤵
                                                                                                                                                                                                                          • Suspicious use of SetThreadContext
                                                                                                                                                                                                                          PID:2792
                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ueswrr.exe
                                                                                                                                                                                                                            C:\Windows\system32\ueswrr.exe 452 "C:\Windows\SysWOW64\gzthtw.exe"
                                                                                                                                                                                                                            98⤵
                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                            PID:2132
                                                                                                                                                                                                                            • C:\Windows\SysWOW64\jmjhrq.exe
                                                                                                                                                                                                                              C:\Windows\system32\jmjhrq.exe 452 "C:\Windows\SysWOW64\ueswrr.exe"
                                                                                                                                                                                                                              99⤵
                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                              PID:2524
                                                                                                                                                                                                                              • C:\Windows\SysWOW64\jmjhrq.exe
                                                                                                                                                                                                                                C:\Windows\system32\jmjhrq.exe 452 "C:\Windows\SysWOW64\ueswrr.exe"
                                                                                                                                                                                                                                100⤵
                                                                                                                                                                                                                                  PID:2872
                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\vvomwy.exe
                                                                                                                                                                                                                                    C:\Windows\system32\vvomwy.exe 452 "C:\Windows\SysWOW64\jmjhrq.exe"
                                                                                                                                                                                                                                    101⤵
                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                    PID:2712
                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\vvomwy.exe
                                                                                                                                                                                                                                      C:\Windows\system32\vvomwy.exe 452 "C:\Windows\SysWOW64\jmjhrq.exe"
                                                                                                                                                                                                                                      102⤵
                                                                                                                                                                                                                                        PID:1040
                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\muouuz.exe
                                                                                                                                                                                                                                          C:\Windows\system32\muouuz.exe 452 "C:\Windows\SysWOW64\vvomwy.exe"
                                                                                                                                                                                                                                          103⤵
                                                                                                                                                                                                                                          • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                          PID:1584
                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\muouuz.exe
                                                                                                                                                                                                                                            C:\Windows\system32\muouuz.exe 452 "C:\Windows\SysWOW64\vvomwy.exe"
                                                                                                                                                                                                                                            104⤵
                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                            PID:2736
                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\duxcth.exe
                                                                                                                                                                                                                                              C:\Windows\system32\duxcth.exe 452 "C:\Windows\SysWOW64\muouuz.exe"
                                                                                                                                                                                                                                              105⤵
                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                              PID:1184
                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\duxcth.exe
                                                                                                                                                                                                                                                C:\Windows\system32\duxcth.exe 452 "C:\Windows\SysWOW64\muouuz.exe"
                                                                                                                                                                                                                                                106⤵
                                                                                                                                                                                                                                                  PID:2924
                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\uxmfpe.exe
                                                                                                                                                                                                                                                    C:\Windows\system32\uxmfpe.exe 452 "C:\Windows\SysWOW64\duxcth.exe"
                                                                                                                                                                                                                                                    107⤵
                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                    PID:1296
                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\uxmfpe.exe
                                                                                                                                                                                                                                                      C:\Windows\system32\uxmfpe.exe 452 "C:\Windows\SysWOW64\duxcth.exe"
                                                                                                                                                                                                                                                      108⤵
                                                                                                                                                                                                                                                        PID:2268
                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\dtjalj.exe
                                                                                                                                                                                                                                                          C:\Windows\system32\dtjalj.exe 452 "C:\Windows\SysWOW64\uxmfpe.exe"
                                                                                                                                                                                                                                                          109⤵
                                                                                                                                                                                                                                                          • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                          PID:2084
                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\dtjalj.exe
                                                                                                                                                                                                                                                            C:\Windows\system32\dtjalj.exe 452 "C:\Windows\SysWOW64\uxmfpe.exe"
                                                                                                                                                                                                                                                            110⤵
                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                            PID:776
                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\vpgvpn.exe
                                                                                                                                                                                                                                                              C:\Windows\system32\vpgvpn.exe 452 "C:\Windows\SysWOW64\dtjalj.exe"
                                                                                                                                                                                                                                                              111⤵
                                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                              PID:2376
                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\vpgvpn.exe
                                                                                                                                                                                                                                                                C:\Windows\system32\vpgvpn.exe 452 "C:\Windows\SysWOW64\dtjalj.exe"
                                                                                                                                                                                                                                                                112⤵
                                                                                                                                                                                                                                                                  PID:1708
                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\pcmdjt.exe
                                                                                                                                                                                                                                                                    C:\Windows\system32\pcmdjt.exe 452 "C:\Windows\SysWOW64\vpgvpn.exe"
                                                                                                                                                                                                                                                                    113⤵
                                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                    PID:1732
                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\pcmdjt.exe
                                                                                                                                                                                                                                                                      C:\Windows\system32\pcmdjt.exe 452 "C:\Windows\SysWOW64\vpgvpn.exe"
                                                                                                                                                                                                                                                                      114⤵
                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                      PID:1692
                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\gjnlhu.exe
                                                                                                                                                                                                                                                                        C:\Windows\system32\gjnlhu.exe 452 "C:\Windows\SysWOW64\pcmdjt.exe"
                                                                                                                                                                                                                                                                        115⤵
                                                                                                                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                        PID:2312
                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\gjnlhu.exe
                                                                                                                                                                                                                                                                          C:\Windows\system32\gjnlhu.exe 452 "C:\Windows\SysWOW64\pcmdjt.exe"
                                                                                                                                                                                                                                                                          116⤵
                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                          PID:1828
                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\xjvtgd.exe
                                                                                                                                                                                                                                                                            C:\Windows\system32\xjvtgd.exe 452 "C:\Windows\SysWOW64\gjnlhu.exe"
                                                                                                                                                                                                                                                                            117⤵
                                                                                                                                                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                            PID:2892
                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\xjvtgd.exe
                                                                                                                                                                                                                                                                              C:\Windows\system32\xjvtgd.exe 452 "C:\Windows\SysWOW64\gjnlhu.exe"
                                                                                                                                                                                                                                                                              118⤵
                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                              PID:2240
                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\oivbfe.exe
                                                                                                                                                                                                                                                                                C:\Windows\system32\oivbfe.exe 452 "C:\Windows\SysWOW64\xjvtgd.exe"
                                                                                                                                                                                                                                                                                119⤵
                                                                                                                                                                                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                PID:3064
                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\oivbfe.exe
                                                                                                                                                                                                                                                                                  C:\Windows\system32\oivbfe.exe 452 "C:\Windows\SysWOW64\xjvtgd.exe"
                                                                                                                                                                                                                                                                                  120⤵
                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                  PID:2788
                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\fpwjdm.exe
                                                                                                                                                                                                                                                                                    C:\Windows\system32\fpwjdm.exe 452 "C:\Windows\SysWOW64\oivbfe.exe"
                                                                                                                                                                                                                                                                                    121⤵
                                                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                    PID:2524
                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\fpwjdm.exe
                                                                                                                                                                                                                                                                                      C:\Windows\system32\fpwjdm.exe 452 "C:\Windows\SysWOW64\oivbfe.exe"
                                                                                                                                                                                                                                                                                      122⤵
                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                      PID:2984
                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\zckjxs.exe
                                                                                                                                                                                                                                                                                        C:\Windows\system32\zckjxs.exe 452 "C:\Windows\SysWOW64\fpwjdm.exe"
                                                                                                                                                                                                                                                                                        123⤵
                                                                                                                                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                        PID:2500
                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\zckjxs.exe
                                                                                                                                                                                                                                                                                          C:\Windows\system32\zckjxs.exe 452 "C:\Windows\SysWOW64\fpwjdm.exe"
                                                                                                                                                                                                                                                                                          124⤵
                                                                                                                                                                                                                                                                                            PID:2964
                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\rkkzwt.exe
                                                                                                                                                                                                                                                                                              C:\Windows\system32\rkkzwt.exe 452 "C:\Windows\SysWOW64\zckjxs.exe"
                                                                                                                                                                                                                                                                                              125⤵
                                                                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                              PID:1080
                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\rkkzwt.exe
                                                                                                                                                                                                                                                                                                C:\Windows\system32\rkkzwt.exe 452 "C:\Windows\SysWOW64\zckjxs.exe"
                                                                                                                                                                                                                                                                                                126⤵
                                                                                                                                                                                                                                                                                                  PID:2028
                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\lxyzqh.exe
                                                                                                                                                                                                                                                                                                    C:\Windows\system32\lxyzqh.exe 452 "C:\Windows\SysWOW64\rkkzwt.exe"
                                                                                                                                                                                                                                                                                                    127⤵
                                                                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                                    PID:2104
                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\lxyzqh.exe
                                                                                                                                                                                                                                                                                                      C:\Windows\system32\lxyzqh.exe 452 "C:\Windows\SysWOW64\rkkzwt.exe"
                                                                                                                                                                                                                                                                                                      128⤵
                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                      PID:532
                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\cwyhpi.exe
                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cwyhpi.exe 452 "C:\Windows\SysWOW64\lxyzqh.exe"
                                                                                                                                                                                                                                                                                                        129⤵
                                                                                                                                                                                                                                                                                                          PID:988
                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\cwyhpi.exe
                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cwyhpi.exe 452 "C:\Windows\SysWOW64\lxyzqh.exe"
                                                                                                                                                                                                                                                                                                            130⤵
                                                                                                                                                                                                                                                                                                              PID:2064
                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\qbffud.exe
                                                                                                                                                                                                                                                                                                                C:\Windows\system32\qbffud.exe 452 "C:\Windows\SysWOW64\cwyhpi.exe"
                                                                                                                                                                                                                                                                                                                131⤵
                                                                                                                                                                                                                                                                                                                  PID:1136
                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\qbffud.exe
                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\qbffud.exe 452 "C:\Windows\SysWOW64\cwyhpi.exe"
                                                                                                                                                                                                                                                                                                                    132⤵
                                                                                                                                                                                                                                                                                                                      PID:2032
                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\cwlfoj.exe
                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cwlfoj.exe 452 "C:\Windows\SysWOW64\qbffud.exe"
                                                                                                                                                                                                                                                                                                                        133⤵
                                                                                                                                                                                                                                                                                                                          PID:2484
                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\cwlfoj.exe
                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cwlfoj.exe 452 "C:\Windows\SysWOW64\qbffud.exe"
                                                                                                                                                                                                                                                                                                                            134⤵
                                                                                                                                                                                                                                                                                                                              PID:1788
                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\tyxaqw.exe
                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\tyxaqw.exe 452 "C:\Windows\SysWOW64\cwlfoj.exe"
                                                                                                                                                                                                                                                                                                                                135⤵
                                                                                                                                                                                                                                                                                                                                  PID:888
                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\tyxaqw.exe
                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\tyxaqw.exe 452 "C:\Windows\SysWOW64\cwlfoj.exe"
                                                                                                                                                                                                                                                                                                                                    136⤵
                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                    PID:2900
                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\nmkakc.exe
                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\nmkakc.exe 452 "C:\Windows\SysWOW64\tyxaqw.exe"
                                                                                                                                                                                                                                                                                                                                      137⤵
                                                                                                                                                                                                                                                                                                                                        PID:2112
                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\nmkakc.exe
                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\nmkakc.exe 452 "C:\Windows\SysWOW64\tyxaqw.exe"
                                                                                                                                                                                                                                                                                                                                          138⤵
                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                          PID:1592
                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ccudkc.exe
                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\ccudkc.exe 452 "C:\Windows\SysWOW64\nmkakc.exe"
                                                                                                                                                                                                                                                                                                                                            139⤵
                                                                                                                                                                                                                                                                                                                                              PID:2652
                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ccudkc.exe
                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ccudkc.exe 452 "C:\Windows\SysWOW64\nmkakc.exe"
                                                                                                                                                                                                                                                                                                                                                140⤵
                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                PID:3056
                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\txrggy.exe
                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\txrggy.exe 452 "C:\Windows\SysWOW64\ccudkc.exe"
                                                                                                                                                                                                                                                                                                                                                  141⤵
                                                                                                                                                                                                                                                                                                                                                    PID:2784
                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\txrggy.exe
                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\txrggy.exe 452 "C:\Windows\SysWOW64\ccudkc.exe"
                                                                                                                                                                                                                                                                                                                                                      142⤵
                                                                                                                                                                                                                                                                                                                                                        PID:2640
                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\hfjipy.exe
                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\hfjipy.exe 452 "C:\Windows\SysWOW64\txrggy.exe"
                                                                                                                                                                                                                                                                                                                                                          143⤵
                                                                                                                                                                                                                                                                                                                                                            PID:3036
                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\hfjipy.exe
                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\hfjipy.exe 452 "C:\Windows\SysWOW64\txrggy.exe"
                                                                                                                                                                                                                                                                                                                                                              144⤵
                                                                                                                                                                                                                                                                                                                                                                PID:1520
                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\wkigmt.exe
                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\wkigmt.exe 452 "C:\Windows\SysWOW64\hfjipy.exe"
                                                                                                                                                                                                                                                                                                                                                                  145⤵
                                                                                                                                                                                                                                                                                                                                                                    PID:2412
                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\wkigmt.exe
                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\wkigmt.exe 452 "C:\Windows\SysWOW64\hfjipy.exe"
                                                                                                                                                                                                                                                                                                                                                                      146⤵
                                                                                                                                                                                                                                                                                                                                                                        PID:2816
                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\qxvggz.exe
                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\qxvggz.exe 452 "C:\Windows\SysWOW64\wkigmt.exe"
                                                                                                                                                                                                                                                                                                                                                                          147⤵
                                                                                                                                                                                                                                                                                                                                                                            PID:1420
                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\qxvggz.exe
                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\qxvggz.exe 452 "C:\Windows\SysWOW64\wkigmt.exe"
                                                                                                                                                                                                                                                                                                                                                                              148⤵
                                                                                                                                                                                                                                                                                                                                                                                PID:2836
                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\hblbcd.exe
                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\hblbcd.exe 452 "C:\Windows\SysWOW64\qxvggz.exe"
                                                                                                                                                                                                                                                                                                                                                                                  149⤵
                                                                                                                                                                                                                                                                                                                                                                                    PID:2932
                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\hblbcd.exe
                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\hblbcd.exe 452 "C:\Windows\SysWOW64\qxvggz.exe"
                                                                                                                                                                                                                                                                                                                                                                                      150⤵
                                                                                                                                                                                                                                                                                                                                                                                        PID:2088
                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\wicmdv.exe
                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\wicmdv.exe 452 "C:\Windows\SysWOW64\hblbcd.exe"
                                                                                                                                                                                                                                                                                                                                                                                          151⤵
                                                                                                                                                                                                                                                                                                                                                                                            PID:1856
                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\wicmdv.exe
                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\wicmdv.exe 452 "C:\Windows\SysWOW64\hblbcd.exe"
                                                                                                                                                                                                                                                                                                                                                                                              152⤵
                                                                                                                                                                                                                                                                                                                                                                                                PID:892
                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\knjbiq.exe
                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\knjbiq.exe 452 "C:\Windows\SysWOW64\wicmdv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                  153⤵
                                                                                                                                                                                                                                                                                                                                                                                                    PID:1148
                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\knjbiq.exe
                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\knjbiq.exe 452 "C:\Windows\SysWOW64\wicmdv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                      154⤵
                                                                                                                                                                                                                                                                                                                                                                                                        PID:600
                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ufnrbq.exe
                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\ufnrbq.exe 452 "C:\Windows\SysWOW64\knjbiq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                          155⤵
                                                                                                                                                                                                                                                                                                                                                                                                            PID:2156
                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\ufnrbq.exe
                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\ufnrbq.exe 452 "C:\Windows\SysWOW64\knjbiq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                              156⤵
                                                                                                                                                                                                                                                                                                                                                                                                                PID:1900
                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\levzar.exe
                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\levzar.exe 452 "C:\Windows\SysWOW64\ufnrbq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                  157⤵
                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2196
                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\levzar.exe
                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\levzar.exe 452 "C:\Windows\SysWOW64\ufnrbq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                      158⤵
                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2124
                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\fdmmxb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\fdmmxb.exe 452 "C:\Windows\SysWOW64\levzar.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                          159⤵
                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2768
                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\fdmmxb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\fdmmxb.exe 452 "C:\Windows\SysWOW64\levzar.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                              160⤵
                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2896
                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\wcnuvk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\wcnuvk.exe 452 "C:\Windows\SysWOW64\fdmmxb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                161⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2544
                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\wcnuvk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\wcnuvk.exe 452 "C:\Windows\SysWOW64\fdmmxb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                    162⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2808
                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\kkefwk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\kkefwk.exe 452 "C:\Windows\SysWOW64\wcnuvk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                        163⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2576
                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\kkefwk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\kkefwk.exe 452 "C:\Windows\SysWOW64\wcnuvk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                            164⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:548
                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\zplvcf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\zplvcf.exe 452 "C:\Windows\SysWOW64\kkefwk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                165⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2476
                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\zplvcf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\zplvcf.exe 452 "C:\Windows\SysWOW64\kkefwk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                    166⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1808
                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\omvsur.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\omvsur.exe 452 "C:\Windows\SysWOW64\zplvcf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                      167⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2584
                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\omvsur.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\omvsur.exe 452 "C:\Windows\SysWOW64\zplvcf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                          168⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2400
                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\acoyeh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\acoyeh.exe 452 "C:\Windows\SysWOW64\omvsur.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                              169⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1964
                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\acoyeh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\acoyeh.exe 452 "C:\Windows\SysWOW64\omvsur.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  170⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2696
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\rvaoxa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\rvaoxa.exe 452 "C:\Windows\SysWOW64\acoyeh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      171⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1348
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\rvaoxa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\rvaoxa.exe 452 "C:\Windows\SysWOW64\acoyeh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          172⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1476
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\gdsqxz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\gdsqxz.exe 452 "C:\Windows\SysWOW64\rvaoxa.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                            173⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2588
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\gdsqxz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\gdsqxz.exe 452 "C:\Windows\SysWOW64\rvaoxa.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                174⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1136
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\uhqodu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\uhqodu.exe 452 "C:\Windows\SysWOW64\gdsqxz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  175⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:572
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\uhqodu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\uhqodu.exe 452 "C:\Windows\SysWOW64\gdsqxz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      176⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1300
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\apirdu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\apirdu.exe 452 "C:\Windows\SysWOW64\uhqodu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        177⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1652
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\apirdu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\apirdu.exe 452 "C:\Windows\SysWOW64\uhqodu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            178⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1604
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\vzkmvv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\vzkmvv.exe 452 "C:\Windows\SysWOW64\apirdu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                179⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2288
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\vzkmvv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\vzkmvv.exe 452 "C:\Windows\SysWOW64\apirdu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    180⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1704
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\jdjbsq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\jdjbsq.exe 452 "C:\Windows\SysWOW64\vzkmvv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        181⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2688
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\jdjbsq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\jdjbsq.exe 452 "C:\Windows\SysWOW64\vzkmvv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            182⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3068
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\bcrjrr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\bcrjrr.exe 452 "C:\Windows\SysWOW64\jdjbsq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                183⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2524
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\bcrjrr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\bcrjrr.exe 452 "C:\Windows\SysWOW64\jdjbsq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    184⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2620
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\phqhxm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\phqhxm.exe 452 "C:\Windows\SysWOW64\bcrjrr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        185⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1736
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\phqhxm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\phqhxm.exe 452 "C:\Windows\SysWOW64\bcrjrr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            186⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2548
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\goypvn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\goypvn.exe 452 "C:\Windows\SysWOW64\phqhxm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                187⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2356
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\goypvn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\goypvn.exe 452 "C:\Windows\SysWOW64\phqhxm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    188⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2300
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\vsxnti.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\vsxnti.exe 452 "C:\Windows\SysWOW64\goypvn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        189⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:836
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\vsxnti.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\vsxnti.exe 452 "C:\Windows\SysWOW64\goypvn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            190⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1996
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ktsxwz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ktsxwz.exe 452 "C:\Windows\SysWOW64\vsxnti.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                191⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2116
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\ktsxwz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\ktsxwz.exe 452 "C:\Windows\SysWOW64\vsxnti.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    192⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1368
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\ybkawz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\ybkawz.exe 452 "C:\Windows\SysWOW64\ktsxwz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      193⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1640
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ybkawz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\ybkawz.exe 452 "C:\Windows\SysWOW64\ktsxwz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          194⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1616
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\nfqyuu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\nfqyuu.exe 452 "C:\Windows\SysWOW64\ybkawz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              195⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2120
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\nfqyuu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\nfqyuu.exe 452 "C:\Windows\SysWOW64\ybkawz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  196⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2484
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\bkpnap.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\bkpnap.exe 452 "C:\Windows\SysWOW64\nfqyuu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    197⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1292
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\bkpnap.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\bkpnap.exe 452 "C:\Windows\SysWOW64\nfqyuu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        198⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1652
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\lcbdth.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\lcbdth.exe 452 "C:\Windows\SysWOW64\bkpnap.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          199⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1600
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\lcbdth.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\lcbdth.exe 452 "C:\Windows\SysWOW64\bkpnap.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              200⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2288
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\zksgth.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\zksgth.exe 452 "C:\Windows\SysWOW64\lcbdth.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  201⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2652
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\zksgth.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\zksgth.exe 452 "C:\Windows\SysWOW64\lcbdth.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      202⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2676
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\qgijpl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\qgijpl.exe 452 "C:\Windows\SysWOW64\zksgth.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          203⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2784
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\qgijpl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\qgijpl.exe 452 "C:\Windows\SysWOW64\zksgth.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              204⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1664
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\ibfeti.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\ibfeti.exe 452 "C:\Windows\SysWOW64\qgijpl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  205⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3036
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\ibfeti.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\ibfeti.exe 452 "C:\Windows\SysWOW64\qgijpl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      206⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:940
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\zmqzuv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\zmqzuv.exe 452 "C:\Windows\SysWOW64\ibfeti.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        207⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:308
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\zmqzuv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\zmqzuv.exe 452 "C:\Windows\SysWOW64\ibfeti.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            208⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2820
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\qmrgtw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\qmrgtw.exe 452 "C:\Windows\SysWOW64\zmqzuv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              209⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1420
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\qmrgtw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\qmrgtw.exe 452 "C:\Windows\SysWOW64\zmqzuv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  210⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1428
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\kvtcky.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\kvtcky.exe 452 "C:\Windows\SysWOW64\qmrgtw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    211⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:332
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\kvtcky.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\kvtcky.exe 452 "C:\Windows\SysWOW64\qmrgtw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        212⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1240
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\bcckjg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\bcckjg.exe 452 "C:\Windows\SysWOW64\kvtcky.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          213⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2372
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\bcckjg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\bcckjg.exe 452 "C:\Windows\SysWOW64\kvtcky.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              214⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2360
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\pkmmjg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\pkmmjg.exe 452 "C:\Windows\SysWOW64\bcckjg.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                215⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2376
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\pkmmjg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\pkmmjg.exe 452 "C:\Windows\SysWOW64\bcckjg.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    216⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3048
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\hkmuqh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\hkmuqh.exe 452 "C:\Windows\SysWOW64\pkmmjg.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        217⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2152
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\hkmuqh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\hkmuqh.exe 452 "C:\Windows\SysWOW64\pkmmjg.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            218⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2336
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\bfaccn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\bfaccn.exe 452 "C:\Windows\SysWOW64\hkmuqh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              219⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2312
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\bfaccn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\bfaccn.exe 452 "C:\Windows\SysWOW64\hkmuqh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  220⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2800
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\kbpxgr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\kbpxgr.exe 452 "C:\Windows\SysWOW64\bfaccn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      221⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2688
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\kbpxgr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\kbpxgr.exe 452 "C:\Windows\SysWOW64\bfaccn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          222⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2868
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\wrqdih.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\wrqdih.exe 452 "C:\Windows\SysWOW64\kbpxgr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              223⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2532
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\wrqdih.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\wrqdih.exe 452 "C:\Windows\SysWOW64\kbpxgr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  224⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2536
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\qbtqzj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\qbtqzj.exe 452 "C:\Windows\SysWOW64\wrqdih.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      225⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:3020
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\qbtqzj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\qbtqzj.exe 452 "C:\Windows\SysWOW64\wrqdih.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          226⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2848
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\hmelbw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\hmelbw.exe 452 "C:\Windows\SysWOW64\qbtqzj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            227⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:308
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\hmelbw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\hmelbw.exe 452 "C:\Windows\SysWOW64\qbtqzj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                228⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2584
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\viligj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\viligj.exe 452 "C:\Windows\SysWOW64\hmelbw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  229⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1120
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\viligj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\viligj.exe 452 "C:\Windows\SysWOW64\hmelbw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      230⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:692
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\napqzj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\napqzj.exe 452 "C:\Windows\SysWOW64\viligj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          231⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1348
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\napqzj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\napqzj.exe 452 "C:\Windows\SysWOW64\viligj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              232⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:912
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\bqhbaj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\bqhbaj.exe 452 "C:\Windows\SysWOW64\napqzj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                233⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1768
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\bqhbaj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\bqhbaj.exe 452 "C:\Windows\SysWOW64\napqzj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    234⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1660
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\qjcmva.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\qjcmva.exe 452 "C:\Windows\SysWOW64\bqhbaj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      235⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1424
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\qjcmva.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\qjcmva.exe 452 "C:\Windows\SysWOW64\bqhbaj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          236⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1556
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\huozef.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\huozef.exe 452 "C:\Windows\SysWOW64\qjcmva.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              237⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2348
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\huozef.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\huozef.exe 452 "C:\Windows\SysWOW64\qjcmva.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  238⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1780
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\yqlbaj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\yqlbaj.exe 452 "C:\Windows\SysWOW64\huozef.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      239⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1916
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\yqlbaj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\yqlbaj.exe 452 "C:\Windows\SysWOW64\huozef.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          240⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1628
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\nqgmva.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\nqgmva.exe 452 "C:\Windows\SysWOW64\yqlbaj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            241⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2708
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\nqgmva.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\nqgmva.exe 452 "C:\Windows\SysWOW64\yqlbaj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                242⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1540
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\uvectn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\uvectn.exe 452 "C:\Windows\SysWOW64\nqgmva.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    243⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2500
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\uvectn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\uvectn.exe 452 "C:\Windows\SysWOW64\nqgmva.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        244⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1752
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\igzzer.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\igzzer.exe 452 "C:\Windows\SysWOW64\uvectn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          245⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1720
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\igzzer.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\igzzer.exe 452 "C:\Windows\SysWOW64\uvectn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              246⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:748
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\xhvczi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\xhvczi.exe 452 "C:\Windows\SysWOW64\igzzer.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                247⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1324
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\xhvczi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\xhvczi.exe 452 "C:\Windows\SysWOW64\igzzer.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    248⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1220
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\odsfvn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\odsfvn.exe 452 "C:\Windows\SysWOW64\xhvczi.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        249⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:332
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\odsfvn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\odsfvn.exe 452 "C:\Windows\SysWOW64\xhvczi.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            250⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1776
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\clkide.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\clkide.exe 452 "C:\Windows\SysWOW64\odsfvn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                251⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:556
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\clkide.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\clkide.exe 452 "C:\Windows\SysWOW64\odsfvn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    252⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1260
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\uozlzj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\uozlzj.exe 452 "C:\Windows\SysWOW64\clkide.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        253⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1732
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\uozlzj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\uozlzj.exe 452 "C:\Windows\SysWOW64\clkide.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            254⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1620
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\loztyj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\loztyj.exe 452 "C:\Windows\SysWOW64\uozlzj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                255⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1568
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\loztyj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\loztyj.exe 452 "C:\Windows\SysWOW64\uozlzj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    256⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2036
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\fxcgpt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\fxcgpt.exe 452 "C:\Windows\SysWOW64\loztyj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        257⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2660
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\fxcgpt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\fxcgpt.exe 452 "C:\Windows\SysWOW64\loztyj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            258⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1792
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\winbqy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\winbqy.exe 452 "C:\Windows\SysWOW64\fxcgpt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                259⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1516
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\winbqy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\winbqy.exe 452 "C:\Windows\SysWOW64\fxcgpt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    260⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2708
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\nhwjph.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\nhwjph.exe 452 "C:\Windows\SysWOW64\winbqy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        261⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1668
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\nhwjph.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\nhwjph.exe 452 "C:\Windows\SysWOW64\winbqy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            262⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1256
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\hgnwmr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\hgnwmr.exe 452 "C:\Windows\SysWOW64\nhwjph.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                263⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1584
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\hgnwmr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\hgnwmr.exe 452 "C:\Windows\SysWOW64\nhwjph.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    264⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2716
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\txejjc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\txejjc.exe 452 "C:\Windows\SysWOW64\hgnwmr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        265⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2380
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\txejjc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\txejjc.exe 452 "C:\Windows\SysWOW64\hgnwmr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            266⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1388
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ktbmey.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ktbmey.exe 452 "C:\Windows\SysWOW64\txejjc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                267⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2116
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\ktbmey.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\ktbmey.exe 452 "C:\Windows\SysWOW64\txejjc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    268⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1964
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\bacudh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\bacudh.exe 452 "C:\Windows\SysWOW64\ktbmey.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        269⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3008
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\bacudh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\bacudh.exe 452 "C:\Windows\SysWOW64\ktbmey.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            270⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1156
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\vnquxn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\vnquxn.exe 452 "C:\Windows\SysWOW64\bacudh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                271⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:340
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\vnquxn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\vnquxn.exe 452 "C:\Windows\SysWOW64\bacudh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    272⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:864
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\njfptr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\njfptr.exe 452 "C:\Windows\SysWOW64\vnquxn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        273⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1944
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\njfptr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\njfptr.exe 452 "C:\Windows\SysWOW64\vnquxn.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            274⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2224
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\eqnfas.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\eqnfas.exe 452 "C:\Windows\SysWOW64\njfptr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              275⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2152
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\eqnfas.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\eqnfas.exe 452 "C:\Windows\SysWOW64\njfptr.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  276⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2608
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\vmcavx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\vmcavx.exe 452 "C:\Windows\SysWOW64\eqnfas.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      277⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2992
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\vmcavx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\vmcavx.exe 452 "C:\Windows\SysWOW64\eqnfas.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          278⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1516
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\niavrt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\niavrt.exe 452 "C:\Windows\SysWOW64\vmcavx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              279⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1648
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\niavrt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\niavrt.exe 452 "C:\Windows\SysWOW64\vmcavx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  280⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2468
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\bmgspp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\bmgspp.exe 452 "C:\Windows\SysWOW64\niavrt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      281⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2864
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\bmgspp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\bmgspp.exe 452 "C:\Windows\SysWOW64\niavrt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          282⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2356
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\pxbias.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\pxbias.exe 452 "C:\Windows\SysWOW64\bmgspp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              283⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2856
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\pxbias.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\pxbias.exe 452 "C:\Windows\SysWOW64\bmgspp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  284⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1324
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\khedru.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\khedru.exe 452 "C:\Windows\SysWOW64\pxbias.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      285⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2332
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\khedru.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\khedru.exe 452 "C:\Windows\SysWOW64\pxbias.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          286⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3044
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\qbztvy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\qbztvy.exe 452 "C:\Windows\SysWOW64\khedru.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            287⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2588
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\qbztvy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\qbztvy.exe 452 "C:\Windows\SysWOW64\khedru.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                288⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1048
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\htlboq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\htlboq.exe 452 "C:\Windows\SysWOW64\qbztvy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  289⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1332
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\htlboq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\htlboq.exe 452 "C:\Windows\SysWOW64\qbztvy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      290⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2376
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ysljmz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\ysljmz.exe 452 "C:\Windows\SysWOW64\htlboq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          291⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1532
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\ysljmz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\ysljmz.exe 452 "C:\Windows\SysWOW64\htlboq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              292⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1052
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\tfrrhf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\tfrrhf.exe 452 "C:\Windows\SysWOW64\ysljmz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  293⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2184
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\tfrrhf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\tfrrhf.exe 452 "C:\Windows\SysWOW64\ysljmz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      294⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1716
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\jqlmis.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\jqlmis.exe 452 "C:\Windows\SysWOW64\tfrrhf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        295⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2396
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\jqlmis.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\jqlmis.exe 452 "C:\Windows\SysWOW64\tfrrhf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            296⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2492
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\bmaheo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\bmaheo.exe 452 "C:\Windows\SysWOW64\jqlmis.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                297⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2072
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\bmaheo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\bmaheo.exe 452 "C:\Windows\SysWOW64\jqlmis.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    298⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1284
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\vhohyu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\vhohyu.exe 452 "C:\Windows\SysWOW64\bmaheo.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        299⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1668
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\vhohyu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\vhohyu.exe 452 "C:\Windows\SysWOW64\bmaheo.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            300⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1784
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\obqhyj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\obqhyj.exe 452 "C:\Windows\SysWOW64\vhohyu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                301⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2856
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\obqhyj.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\obqhyj.exe 452 "C:\Windows\SysWOW64\vhohyu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    302⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1688
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\jwwhsx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\jwwhsx.exe 452 "C:\Windows\SysWOW64\obqhyj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      303⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2416
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\jwwhsx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\jwwhsx.exe 452 "C:\Windows\SysWOW64\obqhyj.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          304⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1348
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\xirxdt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\xirxdt.exe 452 "C:\Windows\SysWOW64\jwwhsx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            305⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2940
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\xirxdt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\xirxdt.exe 452 "C:\Windows\SysWOW64\jwwhsx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                306⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2388
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\oeoazx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\oeoazx.exe 452 "C:\Windows\SysWOW64\xirxdt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  307⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:676
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\oeoazx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\oeoazx.exe 452 "C:\Windows\SysWOW64\xirxdt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      308⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1496
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\xloixy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\xloixy.exe 452 "C:\Windows\SysWOW64\oeoazx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          309⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2760
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\xloixy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\xloixy.exe 452 "C:\Windows\SysWOW64\oeoazx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              310⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2108
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\rurvpi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\rurvpi.exe 452 "C:\Windows\SysWOW64\xloixy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                311⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2040
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\rurvpi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\rurvpi.exe 452 "C:\Windows\SysWOW64\xloixy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    312⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2136
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\gcjgph.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\gcjgph.exe 452 "C:\Windows\SysWOW64\rurvpi.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      313⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1576
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\gcjgph.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\gcjgph.exe 452 "C:\Windows\SysWOW64\rurvpi.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          314⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2576
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\uktixz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\uktixz.exe 452 "C:\Windows\SysWOW64\gcjgph.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              315⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1244
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\uktixz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\uktixz.exe 452 "C:\Windows\SysWOW64\gcjgph.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  316⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1720
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\mgqdtd.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\mgqdtd.exe 452 "C:\Windows\SysWOW64\uktixz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    317⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1120
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\mgqdtd.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\mgqdtd.exe 452 "C:\Windows\SysWOW64\uktixz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        318⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:552
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\dkfgpa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\dkfgpa.exe 452 "C:\Windows\SysWOW64\mgqdtd.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          319⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:836
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\dkfgpa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\dkfgpa.exe 452 "C:\Windows\SysWOW64\mgqdtd.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              320⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2464
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\xxtgjo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\xxtgjo.exe 452 "C:\Windows\SysWOW64\dkfgpa.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  321⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:556
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\xxtgjo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\xxtgjo.exe 452 "C:\Windows\SysWOW64\dkfgpa.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      322⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1132
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\otibfk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\otibfk.exe 452 "C:\Windows\SysWOW64\xxtgjo.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          323⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:928
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\otibfk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\otibfk.exe 452 "C:\Windows\SysWOW64\xxtgjo.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              324⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:628
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ajjhha.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ajjhha.exe 452 "C:\Windows\SysWOW64\otibfk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                325⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1732
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\ajjhha.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\ajjhha.exe 452 "C:\Windows\SysWOW64\otibfk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    326⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2348
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\rfgblf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\rfgblf.exe 452 "C:\Windows\SysWOW64\ajjhha.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        327⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2968

                                                                                                                                                                                                                                                                                                                                                                            Network

                                                                                                                                                                                                                                                                                                                                                                            MITRE ATT&CK Matrix

                                                                                                                                                                                                                                                                                                                                                                            Replay Monitor

                                                                                                                                                                                                                                                                                                                                                                            Loading Replay Monitor...

                                                                                                                                                                                                                                                                                                                                                                            Downloads

                                                                                                                                                                                                                                                                                                                                                                            • \Windows\SysWOW64\bynbkf.exe

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              471KB

                                                                                                                                                                                                                                                                                                                                                                              MD5

                                                                                                                                                                                                                                                                                                                                                                              06026e4203f13fffe9d741a6872a75ae

                                                                                                                                                                                                                                                                                                                                                                              SHA1

                                                                                                                                                                                                                                                                                                                                                                              4bd5ff87c0efda2cafd1cb3254f46955d52a12ec

                                                                                                                                                                                                                                                                                                                                                                              SHA256

                                                                                                                                                                                                                                                                                                                                                                              ec530b5f552febe9631fb4d1fd90e74ef21be4093eb9cde42657bf2dfeb6a486

                                                                                                                                                                                                                                                                                                                                                                              SHA512

                                                                                                                                                                                                                                                                                                                                                                              37e9d3bf7a38fc16b323c49034f0c754dcd09d2c6c6679b4226bf9d8a659867b2ca27a8d2798f3e0a0ef1f3641761664a6d6b9a6a69ed84b4d2881a8324d3962

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-10-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-12-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-4-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-15-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-8-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-6-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-0-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-14-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-2-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/848-28-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/2528-77-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/2796-48-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB

                                                                                                                                                                                                                                                                                                                                                                            • memory/2880-114-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                                              Filesize

                                                                                                                                                                                                                                                                                                                                                                              1.1MB