Analysis

  • max time kernel
    150s
  • max time network
    127s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240611-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240611-enlocale:en-usos:windows10-2004-x64system
  • submitted
    23-06-2024 12:34

General

  • Target

    06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe

  • Size

    471KB

  • MD5

    06026e4203f13fffe9d741a6872a75ae

  • SHA1

    4bd5ff87c0efda2cafd1cb3254f46955d52a12ec

  • SHA256

    ec530b5f552febe9631fb4d1fd90e74ef21be4093eb9cde42657bf2dfeb6a486

  • SHA512

    37e9d3bf7a38fc16b323c49034f0c754dcd09d2c6c6679b4226bf9d8a659867b2ca27a8d2798f3e0a0ef1f3641761664a6d6b9a6a69ed84b4d2881a8324d3962

  • SSDEEP

    6144:IFeLlS5FZCAv2wFR24biJjWti/9q7R/ck6pSDy4N5q39dVdnNn1u9/TPr5P6uzPY:CD6AvTFgJVWt49y5YeE8RhpQetCT

Malware Config

Extracted

Family

metasploit

Version

encoder/call4_dword_xor

Signatures

  • MetaSploit

    Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.

  • Executes dropped EXE 64 IoCs
  • Drops file in System32 directory 64 IoCs
  • Suspicious use of SetThreadContext 64 IoCs
  • Suspicious use of WriteProcessMemory 64 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe
    "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
    1⤵
    • Suspicious use of SetThreadContext
    • Suspicious use of WriteProcessMemory
    PID:2000
    • C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe
      "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
      2⤵
      • Suspicious use of WriteProcessMemory
      PID:4884
      • C:\Windows\SysWOW64\fahfmz.exe
        C:\Windows\system32\fahfmz.exe 1000 "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
        3⤵
        • Executes dropped EXE
        • Suspicious use of SetThreadContext
        • Suspicious use of WriteProcessMemory
        PID:4876
        • C:\Windows\SysWOW64\fahfmz.exe
          C:\Windows\system32\fahfmz.exe 1000 "C:\Users\Admin\AppData\Local\Temp\06026e4203f13fffe9d741a6872a75ae_JaffaCakes118.exe"
          4⤵
          • Executes dropped EXE
          • Drops file in System32 directory
          • Suspicious use of WriteProcessMemory
          PID:3896
          • C:\Windows\SysWOW64\svpkly.exe
            C:\Windows\system32\svpkly.exe 1160 "C:\Windows\SysWOW64\fahfmz.exe"
            5⤵
            • Executes dropped EXE
            • Suspicious use of SetThreadContext
            • Suspicious use of WriteProcessMemory
            PID:4508
            • C:\Windows\SysWOW64\svpkly.exe
              C:\Windows\system32\svpkly.exe 1160 "C:\Windows\SysWOW64\fahfmz.exe"
              6⤵
              • Executes dropped EXE
              • Suspicious use of WriteProcessMemory
              PID:4628
              • C:\Windows\SysWOW64\ftugqn.exe
                C:\Windows\system32\ftugqn.exe 1004 "C:\Windows\SysWOW64\svpkly.exe"
                7⤵
                • Executes dropped EXE
                • Suspicious use of SetThreadContext
                • Suspicious use of WriteProcessMemory
                PID:976
                • C:\Windows\SysWOW64\ftugqn.exe
                  C:\Windows\system32\ftugqn.exe 1004 "C:\Windows\SysWOW64\svpkly.exe"
                  8⤵
                  • Executes dropped EXE
                  • Drops file in System32 directory
                  • Suspicious use of WriteProcessMemory
                  PID:2924
                  • C:\Windows\SysWOW64\ftrwqx.exe
                    C:\Windows\system32\ftrwqx.exe 992 "C:\Windows\SysWOW64\ftugqn.exe"
                    9⤵
                    • Executes dropped EXE
                    • Suspicious use of SetThreadContext
                    • Suspicious use of WriteProcessMemory
                    PID:3248
                    • C:\Windows\SysWOW64\ftrwqx.exe
                      C:\Windows\system32\ftrwqx.exe 992 "C:\Windows\SysWOW64\ftugqn.exe"
                      10⤵
                      • Executes dropped EXE
                      • Suspicious use of WriteProcessMemory
                      PID:4688
                      • C:\Windows\SysWOW64\sdhezr.exe
                        C:\Windows\system32\sdhezr.exe 1000 "C:\Windows\SysWOW64\ftrwqx.exe"
                        11⤵
                        • Executes dropped EXE
                        • Suspicious use of SetThreadContext
                        • Suspicious use of WriteProcessMemory
                        PID:4624
                        • C:\Windows\SysWOW64\sdhezr.exe
                          C:\Windows\system32\sdhezr.exe 1000 "C:\Windows\SysWOW64\ftrwqx.exe"
                          12⤵
                          • Executes dropped EXE
                          • Drops file in System32 directory
                          PID:2032
                          • C:\Windows\SysWOW64\kdlhje.exe
                            C:\Windows\system32\kdlhje.exe 1000 "C:\Windows\SysWOW64\sdhezr.exe"
                            13⤵
                            • Executes dropped EXE
                            • Suspicious use of SetThreadContext
                            PID:4204
                            • C:\Windows\SysWOW64\kdlhje.exe
                              C:\Windows\system32\kdlhje.exe 1000 "C:\Windows\SysWOW64\sdhezr.exe"
                              14⤵
                              • Executes dropped EXE
                              PID:4272
                              • C:\Windows\SysWOW64\alhnei.exe
                                C:\Windows\system32\alhnei.exe 1000 "C:\Windows\SysWOW64\kdlhje.exe"
                                15⤵
                                • Executes dropped EXE
                                • Suspicious use of SetThreadContext
                                PID:2704
                                • C:\Windows\SysWOW64\alhnei.exe
                                  C:\Windows\system32\alhnei.exe 1000 "C:\Windows\SysWOW64\kdlhje.exe"
                                  16⤵
                                  • Executes dropped EXE
                                  PID:4284
                                  • C:\Windows\SysWOW64\puctqm.exe
                                    C:\Windows\system32\puctqm.exe 1004 "C:\Windows\SysWOW64\alhnei.exe"
                                    17⤵
                                    • Executes dropped EXE
                                    • Suspicious use of SetThreadContext
                                    PID:4556
                                    • C:\Windows\SysWOW64\puctqm.exe
                                      C:\Windows\system32\puctqm.exe 1004 "C:\Windows\SysWOW64\alhnei.exe"
                                      18⤵
                                      • Executes dropped EXE
                                      • Drops file in System32 directory
                                      PID:1076
                                      • C:\Windows\SysWOW64\hxajee.exe
                                        C:\Windows\system32\hxajee.exe 1008 "C:\Windows\SysWOW64\puctqm.exe"
                                        19⤵
                                        • Executes dropped EXE
                                        • Suspicious use of SetThreadContext
                                        PID:2784
                                        • C:\Windows\SysWOW64\hxajee.exe
                                          C:\Windows\system32\hxajee.exe 1008 "C:\Windows\SysWOW64\puctqm.exe"
                                          20⤵
                                          • Executes dropped EXE
                                          PID:2728
                                          • C:\Windows\SysWOW64\zmamur.exe
                                            C:\Windows\system32\zmamur.exe 1120 "C:\Windows\SysWOW64\hxajee.exe"
                                            21⤵
                                            • Executes dropped EXE
                                            • Suspicious use of SetThreadContext
                                            PID:4600
                                            • C:\Windows\SysWOW64\zmamur.exe
                                              C:\Windows\system32\zmamur.exe 1120 "C:\Windows\SysWOW64\hxajee.exe"
                                              22⤵
                                              • Executes dropped EXE
                                              • Drops file in System32 directory
                                              PID:4320
                                              • C:\Windows\SysWOW64\udvudo.exe
                                                C:\Windows\system32\udvudo.exe 992 "C:\Windows\SysWOW64\zmamur.exe"
                                                23⤵
                                                • Executes dropped EXE
                                                • Suspicious use of SetThreadContext
                                                PID:4768
                                                • C:\Windows\SysWOW64\udvudo.exe
                                                  C:\Windows\system32\udvudo.exe 992 "C:\Windows\SysWOW64\zmamur.exe"
                                                  24⤵
                                                  • Executes dropped EXE
                                                  • Drops file in System32 directory
                                                  PID:316
                                                  • C:\Windows\SysWOW64\motkqg.exe
                                                    C:\Windows\system32\motkqg.exe 1128 "C:\Windows\SysWOW64\udvudo.exe"
                                                    25⤵
                                                    • Executes dropped EXE
                                                    • Suspicious use of SetThreadContext
                                                    PID:4616
                                                    • C:\Windows\SysWOW64\motkqg.exe
                                                      C:\Windows\system32\motkqg.exe 1128 "C:\Windows\SysWOW64\udvudo.exe"
                                                      26⤵
                                                      • Executes dropped EXE
                                                      PID:1128
                                                      • C:\Windows\SysWOW64\evtngb.exe
                                                        C:\Windows\system32\evtngb.exe 988 "C:\Windows\SysWOW64\motkqg.exe"
                                                        27⤵
                                                        • Executes dropped EXE
                                                        • Suspicious use of SetThreadContext
                                                        PID:4116
                                                        • C:\Windows\SysWOW64\evtngb.exe
                                                          C:\Windows\system32\evtngb.exe 988 "C:\Windows\SysWOW64\motkqg.exe"
                                                          28⤵
                                                          • Executes dropped EXE
                                                          PID:4632
                                                          • C:\Windows\SysWOW64\wgjdul.exe
                                                            C:\Windows\system32\wgjdul.exe 992 "C:\Windows\SysWOW64\evtngb.exe"
                                                            29⤵
                                                            • Executes dropped EXE
                                                            • Suspicious use of SetThreadContext
                                                            PID:1340
                                                            • C:\Windows\SysWOW64\wgjdul.exe
                                                              C:\Windows\system32\wgjdul.exe 992 "C:\Windows\SysWOW64\evtngb.exe"
                                                              30⤵
                                                              • Executes dropped EXE
                                                              PID:412
                                                              • C:\Windows\SysWOW64\hgvgey.exe
                                                                C:\Windows\system32\hgvgey.exe 996 "C:\Windows\SysWOW64\wgjdul.exe"
                                                                31⤵
                                                                • Executes dropped EXE
                                                                • Suspicious use of SetThreadContext
                                                                PID:2704
                                                                • C:\Windows\SysWOW64\hgvgey.exe
                                                                  C:\Windows\system32\hgvgey.exe 996 "C:\Windows\SysWOW64\wgjdul.exe"
                                                                  32⤵
                                                                  • Executes dropped EXE
                                                                  PID:3196
                                                                  • C:\Windows\SysWOW64\zdwemh.exe
                                                                    C:\Windows\system32\zdwemh.exe 1136 "C:\Windows\SysWOW64\hgvgey.exe"
                                                                    33⤵
                                                                    • Executes dropped EXE
                                                                    • Suspicious use of SetThreadContext
                                                                    PID:1936
                                                                    • C:\Windows\SysWOW64\zdwemh.exe
                                                                      C:\Windows\system32\zdwemh.exe 1136 "C:\Windows\SysWOW64\hgvgey.exe"
                                                                      34⤵
                                                                      • Executes dropped EXE
                                                                      PID:3120
                                                                      • C:\Windows\SysWOW64\osgceu.exe
                                                                        C:\Windows\system32\osgceu.exe 968 "C:\Windows\SysWOW64\zdwemh.exe"
                                                                        35⤵
                                                                        • Executes dropped EXE
                                                                        • Suspicious use of SetThreadContext
                                                                        PID:5064
                                                                        • C:\Windows\SysWOW64\osgceu.exe
                                                                          C:\Windows\system32\osgceu.exe 968 "C:\Windows\SysWOW64\zdwemh.exe"
                                                                          36⤵
                                                                          • Executes dropped EXE
                                                                          PID:2996
                                                                          • C:\Windows\SysWOW64\hopamd.exe
                                                                            C:\Windows\system32\hopamd.exe 1004 "C:\Windows\SysWOW64\osgceu.exe"
                                                                            37⤵
                                                                            • Executes dropped EXE
                                                                            • Suspicious use of SetThreadContext
                                                                            PID:1956
                                                                            • C:\Windows\SysWOW64\hopamd.exe
                                                                              C:\Windows\system32\hopamd.exe 1004 "C:\Windows\SysWOW64\osgceu.exe"
                                                                              38⤵
                                                                              • Executes dropped EXE
                                                                              • Drops file in System32 directory
                                                                              PID:3492
                                                                              • C:\Windows\SysWOW64\zreqzu.exe
                                                                                C:\Windows\system32\zreqzu.exe 996 "C:\Windows\SysWOW64\hopamd.exe"
                                                                                39⤵
                                                                                • Executes dropped EXE
                                                                                • Suspicious use of SetThreadContext
                                                                                PID:3124
                                                                                • C:\Windows\SysWOW64\zreqzu.exe
                                                                                  C:\Windows\system32\zreqzu.exe 996 "C:\Windows\SysWOW64\hopamd.exe"
                                                                                  40⤵
                                                                                  • Executes dropped EXE
                                                                                  PID:3360
                                                                                  • C:\Windows\SysWOW64\rgftqq.exe
                                                                                    C:\Windows\system32\rgftqq.exe 1120 "C:\Windows\SysWOW64\zreqzu.exe"
                                                                                    41⤵
                                                                                    • Executes dropped EXE
                                                                                    • Suspicious use of SetThreadContext
                                                                                    PID:3248
                                                                                    • C:\Windows\SysWOW64\rgftqq.exe
                                                                                      C:\Windows\system32\rgftqq.exe 1120 "C:\Windows\SysWOW64\zreqzu.exe"
                                                                                      42⤵
                                                                                      • Executes dropped EXE
                                                                                      • Drops file in System32 directory
                                                                                      PID:4176
                                                                                      • C:\Windows\SysWOW64\kdgryz.exe
                                                                                        C:\Windows\system32\kdgryz.exe 996 "C:\Windows\SysWOW64\rgftqq.exe"
                                                                                        43⤵
                                                                                        • Executes dropped EXE
                                                                                        • Suspicious use of SetThreadContext
                                                                                        PID:2164
                                                                                        • C:\Windows\SysWOW64\kdgryz.exe
                                                                                          C:\Windows\system32\kdgryz.exe 996 "C:\Windows\SysWOW64\rgftqq.exe"
                                                                                          44⤵
                                                                                          • Executes dropped EXE
                                                                                          • Drops file in System32 directory
                                                                                          PID:1340
                                                                                          • C:\Windows\SysWOW64\efmmjs.exe
                                                                                            C:\Windows\system32\efmmjs.exe 1120 "C:\Windows\SysWOW64\kdgryz.exe"
                                                                                            45⤵
                                                                                            • Executes dropped EXE
                                                                                            • Suspicious use of SetThreadContext
                                                                                            PID:3832
                                                                                            • C:\Windows\SysWOW64\efmmjs.exe
                                                                                              C:\Windows\system32\efmmjs.exe 1120 "C:\Windows\SysWOW64\kdgryz.exe"
                                                                                              46⤵
                                                                                              • Executes dropped EXE
                                                                                              • Drops file in System32 directory
                                                                                              PID:2176
                                                                                              • C:\Windows\SysWOW64\wmuhzo.exe
                                                                                                C:\Windows\system32\wmuhzo.exe 1000 "C:\Windows\SysWOW64\efmmjs.exe"
                                                                                                47⤵
                                                                                                • Executes dropped EXE
                                                                                                • Suspicious use of SetThreadContext
                                                                                                PID:2000
                                                                                                • C:\Windows\SysWOW64\wmuhzo.exe
                                                                                                  C:\Windows\system32\wmuhzo.exe 1000 "C:\Windows\SysWOW64\efmmjs.exe"
                                                                                                  48⤵
                                                                                                  • Executes dropped EXE
                                                                                                  PID:3548
                                                                                                  • C:\Windows\SysWOW64\rpaclh.exe
                                                                                                    C:\Windows\system32\rpaclh.exe 988 "C:\Windows\SysWOW64\wmuhzo.exe"
                                                                                                    49⤵
                                                                                                    • Executes dropped EXE
                                                                                                    • Suspicious use of SetThreadContext
                                                                                                    PID:1084
                                                                                                    • C:\Windows\SysWOW64\rpaclh.exe
                                                                                                      C:\Windows\system32\rpaclh.exe 988 "C:\Windows\SysWOW64\wmuhzo.exe"
                                                                                                      50⤵
                                                                                                      • Executes dropped EXE
                                                                                                      PID:5056
                                                                                                      • C:\Windows\SysWOW64\evskrm.exe
                                                                                                        C:\Windows\system32\evskrm.exe 992 "C:\Windows\SysWOW64\rpaclh.exe"
                                                                                                        51⤵
                                                                                                        • Executes dropped EXE
                                                                                                        • Suspicious use of SetThreadContext
                                                                                                        PID:2104
                                                                                                        • C:\Windows\SysWOW64\evskrm.exe
                                                                                                          C:\Windows\system32\evskrm.exe 992 "C:\Windows\SysWOW64\rpaclh.exe"
                                                                                                          52⤵
                                                                                                          • Executes dropped EXE
                                                                                                          PID:1696
                                                                                                          • C:\Windows\SysWOW64\zqygdf.exe
                                                                                                            C:\Windows\system32\zqygdf.exe 988 "C:\Windows\SysWOW64\evskrm.exe"
                                                                                                            53⤵
                                                                                                            • Executes dropped EXE
                                                                                                            • Suspicious use of SetThreadContext
                                                                                                            PID:5044
                                                                                                            • C:\Windows\SysWOW64\zqygdf.exe
                                                                                                              C:\Windows\system32\zqygdf.exe 988 "C:\Windows\SysWOW64\evskrm.exe"
                                                                                                              54⤵
                                                                                                              • Executes dropped EXE
                                                                                                              PID:1092
                                                                                                              • C:\Windows\SysWOW64\usmbpg.exe
                                                                                                                C:\Windows\system32\usmbpg.exe 1000 "C:\Windows\SysWOW64\zqygdf.exe"
                                                                                                                55⤵
                                                                                                                • Executes dropped EXE
                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                PID:872
                                                                                                                • C:\Windows\SysWOW64\usmbpg.exe
                                                                                                                  C:\Windows\system32\usmbpg.exe 1000 "C:\Windows\SysWOW64\zqygdf.exe"
                                                                                                                  56⤵
                                                                                                                  • Executes dropped EXE
                                                                                                                  • Drops file in System32 directory
                                                                                                                  PID:472
                                                                                                                  • C:\Windows\SysWOW64\onswaz.exe
                                                                                                                    C:\Windows\system32\onswaz.exe 1120 "C:\Windows\SysWOW64\usmbpg.exe"
                                                                                                                    57⤵
                                                                                                                    • Executes dropped EXE
                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                    PID:804
                                                                                                                    • C:\Windows\SysWOW64\onswaz.exe
                                                                                                                      C:\Windows\system32\onswaz.exe 1120 "C:\Windows\SysWOW64\usmbpg.exe"
                                                                                                                      58⤵
                                                                                                                      • Executes dropped EXE
                                                                                                                      • Drops file in System32 directory
                                                                                                                      PID:1108
                                                                                                                      • C:\Windows\SysWOW64\gctzqv.exe
                                                                                                                        C:\Windows\system32\gctzqv.exe 988 "C:\Windows\SysWOW64\onswaz.exe"
                                                                                                                        59⤵
                                                                                                                        • Executes dropped EXE
                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                        PID:3248
                                                                                                                        • C:\Windows\SysWOW64\gctzqv.exe
                                                                                                                          C:\Windows\system32\gctzqv.exe 988 "C:\Windows\SysWOW64\onswaz.exe"
                                                                                                                          60⤵
                                                                                                                          • Executes dropped EXE
                                                                                                                          PID:4428
                                                                                                                          • C:\Windows\SysWOW64\yfqpem.exe
                                                                                                                            C:\Windows\system32\yfqpem.exe 988 "C:\Windows\SysWOW64\gctzqv.exe"
                                                                                                                            61⤵
                                                                                                                            • Executes dropped EXE
                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                            PID:4204
                                                                                                                            • C:\Windows\SysWOW64\yfqpem.exe
                                                                                                                              C:\Windows\system32\yfqpem.exe 988 "C:\Windows\SysWOW64\gctzqv.exe"
                                                                                                                              62⤵
                                                                                                                              • Executes dropped EXE
                                                                                                                              PID:2240
                                                                                                                              • C:\Windows\SysWOW64\telxfb.exe
                                                                                                                                C:\Windows\system32\telxfb.exe 1000 "C:\Windows\SysWOW64\yfqpem.exe"
                                                                                                                                63⤵
                                                                                                                                • Executes dropped EXE
                                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                                PID:1540
                                                                                                                                • C:\Windows\SysWOW64\telxfb.exe
                                                                                                                                  C:\Windows\system32\telxfb.exe 1000 "C:\Windows\SysWOW64\yfqpem.exe"
                                                                                                                                  64⤵
                                                                                                                                  • Executes dropped EXE
                                                                                                                                  PID:4844
                                                                                                                                  • C:\Windows\SysWOW64\miinst.exe
                                                                                                                                    C:\Windows\system32\miinst.exe 1000 "C:\Windows\SysWOW64\telxfb.exe"
                                                                                                                                    65⤵
                                                                                                                                    • Executes dropped EXE
                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                    PID:2584
                                                                                                                                    • C:\Windows\SysWOW64\miinst.exe
                                                                                                                                      C:\Windows\system32\miinst.exe 1000 "C:\Windows\SysWOW64\telxfb.exe"
                                                                                                                                      66⤵
                                                                                                                                      • Executes dropped EXE
                                                                                                                                      • Drops file in System32 directory
                                                                                                                                      PID:4088
                                                                                                                                      • C:\Windows\SysWOW64\gkojeu.exe
                                                                                                                                        C:\Windows\system32\gkojeu.exe 992 "C:\Windows\SysWOW64\miinst.exe"
                                                                                                                                        67⤵
                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                        PID:2784
                                                                                                                                        • C:\Windows\SysWOW64\gkojeu.exe
                                                                                                                                          C:\Windows\system32\gkojeu.exe 992 "C:\Windows\SysWOW64\miinst.exe"
                                                                                                                                          68⤵
                                                                                                                                          • Drops file in System32 directory
                                                                                                                                          PID:4948
                                                                                                                                          • C:\Windows\SysWOW64\yomzrl.exe
                                                                                                                                            C:\Windows\system32\yomzrl.exe 988 "C:\Windows\SysWOW64\gkojeu.exe"
                                                                                                                                            69⤵
                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                            PID:5044
                                                                                                                                            • C:\Windows\SysWOW64\yomzrl.exe
                                                                                                                                              C:\Windows\system32\yomzrl.exe 988 "C:\Windows\SysWOW64\gkojeu.exe"
                                                                                                                                              70⤵
                                                                                                                                                PID:4404
                                                                                                                                                • C:\Windows\SysWOW64\owzemp.exe
                                                                                                                                                  C:\Windows\system32\owzemp.exe 1008 "C:\Windows\SysWOW64\yomzrl.exe"
                                                                                                                                                  71⤵
                                                                                                                                                  • Suspicious use of SetThreadContext
                                                                                                                                                  PID:1788
                                                                                                                                                  • C:\Windows\SysWOW64\owzemp.exe
                                                                                                                                                    C:\Windows\system32\owzemp.exe 1008 "C:\Windows\SysWOW64\yomzrl.exe"
                                                                                                                                                    72⤵
                                                                                                                                                      PID:2308
                                                                                                                                                      • C:\Windows\SysWOW64\tnefaj.exe
                                                                                                                                                        C:\Windows\system32\tnefaj.exe 1000 "C:\Windows\SysWOW64\owzemp.exe"
                                                                                                                                                        73⤵
                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                        PID:3592
                                                                                                                                                        • C:\Windows\SysWOW64\tnefaj.exe
                                                                                                                                                          C:\Windows\system32\tnefaj.exe 1000 "C:\Windows\SysWOW64\owzemp.exe"
                                                                                                                                                          74⤵
                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                          PID:4440
                                                                                                                                                          • C:\Windows\SysWOW64\lnqikx.exe
                                                                                                                                                            C:\Windows\system32\lnqikx.exe 988 "C:\Windows\SysWOW64\tnefaj.exe"
                                                                                                                                                            75⤵
                                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                                            PID:4500
                                                                                                                                                            • C:\Windows\SysWOW64\lnqikx.exe
                                                                                                                                                              C:\Windows\system32\lnqikx.exe 988 "C:\Windows\SysWOW64\tnefaj.exe"
                                                                                                                                                              76⤵
                                                                                                                                                                PID:4476
                                                                                                                                                                • C:\Windows\SysWOW64\emctvk.exe
                                                                                                                                                                  C:\Windows\system32\emctvk.exe 1120 "C:\Windows\SysWOW64\lnqikx.exe"
                                                                                                                                                                  77⤵
                                                                                                                                                                  • Suspicious use of SetThreadContext
                                                                                                                                                                  PID:2228
                                                                                                                                                                  • C:\Windows\SysWOW64\emctvk.exe
                                                                                                                                                                    C:\Windows\system32\emctvk.exe 1120 "C:\Windows\SysWOW64\lnqikx.exe"
                                                                                                                                                                    78⤵
                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                    PID:4376
                                                                                                                                                                    • C:\Windows\SysWOW64\wmpwgx.exe
                                                                                                                                                                      C:\Windows\system32\wmpwgx.exe 1128 "C:\Windows\SysWOW64\emctvk.exe"
                                                                                                                                                                      79⤵
                                                                                                                                                                      • Suspicious use of SetThreadContext
                                                                                                                                                                      PID:3692
                                                                                                                                                                      • C:\Windows\SysWOW64\wmpwgx.exe
                                                                                                                                                                        C:\Windows\system32\wmpwgx.exe 1128 "C:\Windows\SysWOW64\emctvk.exe"
                                                                                                                                                                        80⤵
                                                                                                                                                                          PID:4804
                                                                                                                                                                          • C:\Windows\SysWOW64\lgnpvf.exe
                                                                                                                                                                            C:\Windows\system32\lgnpvf.exe 1000 "C:\Windows\SysWOW64\wmpwgx.exe"
                                                                                                                                                                            81⤵
                                                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                                                            PID:4488
                                                                                                                                                                            • C:\Windows\SysWOW64\lgnpvf.exe
                                                                                                                                                                              C:\Windows\system32\lgnpvf.exe 1000 "C:\Windows\SysWOW64\wmpwgx.exe"
                                                                                                                                                                              82⤵
                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                              PID:5012
                                                                                                                                                                              • C:\Windows\SysWOW64\djlfix.exe
                                                                                                                                                                                C:\Windows\system32\djlfix.exe 1008 "C:\Windows\SysWOW64\lgnpvf.exe"
                                                                                                                                                                                83⤵
                                                                                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                                                                                PID:3628
                                                                                                                                                                                • C:\Windows\SysWOW64\djlfix.exe
                                                                                                                                                                                  C:\Windows\system32\djlfix.exe 1008 "C:\Windows\SysWOW64\lgnpvf.exe"
                                                                                                                                                                                  84⤵
                                                                                                                                                                                    PID:5044
                                                                                                                                                                                    • C:\Windows\SysWOW64\vnavwp.exe
                                                                                                                                                                                      C:\Windows\system32\vnavwp.exe 1128 "C:\Windows\SysWOW64\djlfix.exe"
                                                                                                                                                                                      85⤵
                                                                                                                                                                                      • Suspicious use of SetThreadContext
                                                                                                                                                                                      PID:1816
                                                                                                                                                                                      • C:\Windows\SysWOW64\vnavwp.exe
                                                                                                                                                                                        C:\Windows\system32\vnavwp.exe 1128 "C:\Windows\SysWOW64\djlfix.exe"
                                                                                                                                                                                        86⤵
                                                                                                                                                                                          PID:2208
                                                                                                                                                                                          • C:\Windows\SysWOW64\oyxljy.exe
                                                                                                                                                                                            C:\Windows\system32\oyxljy.exe 992 "C:\Windows\SysWOW64\vnavwp.exe"
                                                                                                                                                                                            87⤵
                                                                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                                                                            PID:1836
                                                                                                                                                                                            • C:\Windows\SysWOW64\oyxljy.exe
                                                                                                                                                                                              C:\Windows\system32\oyxljy.exe 992 "C:\Windows\SysWOW64\vnavwp.exe"
                                                                                                                                                                                              88⤵
                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                              PID:4260
                                                                                                                                                                                              • C:\Windows\SysWOW64\jpstsv.exe
                                                                                                                                                                                                C:\Windows\system32\jpstsv.exe 1000 "C:\Windows\SysWOW64\oyxljy.exe"
                                                                                                                                                                                                89⤵
                                                                                                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                                                                                                PID:3624
                                                                                                                                                                                                • C:\Windows\SysWOW64\jpstsv.exe
                                                                                                                                                                                                  C:\Windows\system32\jpstsv.exe 1000 "C:\Windows\SysWOW64\oyxljy.exe"
                                                                                                                                                                                                  90⤵
                                                                                                                                                                                                    PID:2756
                                                                                                                                                                                                    • C:\Windows\SysWOW64\bsqjfm.exe
                                                                                                                                                                                                      C:\Windows\system32\bsqjfm.exe 1156 "C:\Windows\SysWOW64\jpstsv.exe"
                                                                                                                                                                                                      91⤵
                                                                                                                                                                                                      • Suspicious use of SetThreadContext
                                                                                                                                                                                                      PID:2464
                                                                                                                                                                                                      • C:\Windows\SysWOW64\bsqjfm.exe
                                                                                                                                                                                                        C:\Windows\system32\bsqjfm.exe 1156 "C:\Windows\SysWOW64\jpstsv.exe"
                                                                                                                                                                                                        92⤵
                                                                                                                                                                                                          PID:2416
                                                                                                                                                                                                          • C:\Windows\SysWOW64\lhqmwa.exe
                                                                                                                                                                                                            C:\Windows\system32\lhqmwa.exe 1120 "C:\Windows\SysWOW64\bsqjfm.exe"
                                                                                                                                                                                                            93⤵
                                                                                                                                                                                                            • Suspicious use of SetThreadContext
                                                                                                                                                                                                            PID:3080
                                                                                                                                                                                                            • C:\Windows\SysWOW64\lhqmwa.exe
                                                                                                                                                                                                              C:\Windows\system32\lhqmwa.exe 1120 "C:\Windows\SysWOW64\bsqjfm.exe"
                                                                                                                                                                                                              94⤵
                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                              PID:3168
                                                                                                                                                                                                              • C:\Windows\SysWOW64\gvipcs.exe
                                                                                                                                                                                                                C:\Windows\system32\gvipcs.exe 988 "C:\Windows\SysWOW64\lhqmwa.exe"
                                                                                                                                                                                                                95⤵
                                                                                                                                                                                                                • Suspicious use of SetThreadContext
                                                                                                                                                                                                                PID:3632
                                                                                                                                                                                                                • C:\Windows\SysWOW64\gvipcs.exe
                                                                                                                                                                                                                  C:\Windows\system32\gvipcs.exe 988 "C:\Windows\SysWOW64\lhqmwa.exe"
                                                                                                                                                                                                                  96⤵
                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                  PID:2452
                                                                                                                                                                                                                  • C:\Windows\SysWOW64\vssnuf.exe
                                                                                                                                                                                                                    C:\Windows\system32\vssnuf.exe 1144 "C:\Windows\SysWOW64\gvipcs.exe"
                                                                                                                                                                                                                    97⤵
                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                    PID:4256
                                                                                                                                                                                                                    • C:\Windows\SysWOW64\vssnuf.exe
                                                                                                                                                                                                                      C:\Windows\system32\vssnuf.exe 1144 "C:\Windows\SysWOW64\gvipcs.exe"
                                                                                                                                                                                                                      98⤵
                                                                                                                                                                                                                        PID:4912
                                                                                                                                                                                                                        • C:\Windows\SysWOW64\nwhdhx.exe
                                                                                                                                                                                                                          C:\Windows\system32\nwhdhx.exe 1084 "C:\Windows\SysWOW64\vssnuf.exe"
                                                                                                                                                                                                                          99⤵
                                                                                                                                                                                                                          • Suspicious use of SetThreadContext
                                                                                                                                                                                                                          PID:3784
                                                                                                                                                                                                                          • C:\Windows\SysWOW64\nwhdhx.exe
                                                                                                                                                                                                                            C:\Windows\system32\nwhdhx.exe 1084 "C:\Windows\SysWOW64\vssnuf.exe"
                                                                                                                                                                                                                            100⤵
                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                            PID:1336
                                                                                                                                                                                                                            • C:\Windows\SysWOW64\iyvytq.exe
                                                                                                                                                                                                                              C:\Windows\system32\iyvytq.exe 1012 "C:\Windows\SysWOW64\nwhdhx.exe"
                                                                                                                                                                                                                              101⤵
                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                              PID:2816
                                                                                                                                                                                                                              • C:\Windows\SysWOW64\iyvytq.exe
                                                                                                                                                                                                                                C:\Windows\system32\iyvytq.exe 1012 "C:\Windows\SysWOW64\nwhdhx.exe"
                                                                                                                                                                                                                                102⤵
                                                                                                                                                                                                                                  PID:4012
                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\dtbteq.exe
                                                                                                                                                                                                                                    C:\Windows\system32\dtbteq.exe 992 "C:\Windows\SysWOW64\iyvytq.exe"
                                                                                                                                                                                                                                    103⤵
                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                    PID:4532
                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\dtbteq.exe
                                                                                                                                                                                                                                      C:\Windows\system32\dtbteq.exe 992 "C:\Windows\SysWOW64\iyvytq.exe"
                                                                                                                                                                                                                                      104⤵
                                                                                                                                                                                                                                        PID:2116
                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ywipij.exe
                                                                                                                                                                                                                                          C:\Windows\system32\ywipij.exe 1120 "C:\Windows\SysWOW64\dtbteq.exe"
                                                                                                                                                                                                                                          105⤵
                                                                                                                                                                                                                                          • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                          PID:1856
                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ywipij.exe
                                                                                                                                                                                                                                            C:\Windows\system32\ywipij.exe 1120 "C:\Windows\SysWOW64\dtbteq.exe"
                                                                                                                                                                                                                                            106⤵
                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                            PID:3624
                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\schpwp.exe
                                                                                                                                                                                                                                              C:\Windows\system32\schpwp.exe 988 "C:\Windows\SysWOW64\ywipij.exe"
                                                                                                                                                                                                                                              107⤵
                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                              PID:4556
                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\schpwp.exe
                                                                                                                                                                                                                                                C:\Windows\system32\schpwp.exe 988 "C:\Windows\SysWOW64\ywipij.exe"
                                                                                                                                                                                                                                                108⤵
                                                                                                                                                                                                                                                  PID:3984
                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\kfwnkg.exe
                                                                                                                                                                                                                                                    C:\Windows\system32\kfwnkg.exe 1008 "C:\Windows\SysWOW64\schpwp.exe"
                                                                                                                                                                                                                                                    109⤵
                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                    PID:3684
                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\kfwnkg.exe
                                                                                                                                                                                                                                                      C:\Windows\system32\kfwnkg.exe 1008 "C:\Windows\SysWOW64\schpwp.exe"
                                                                                                                                                                                                                                                      110⤵
                                                                                                                                                                                                                                                        PID:2892
                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ficavz.exe
                                                                                                                                                                                                                                                          C:\Windows\system32\ficavz.exe 1120 "C:\Windows\SysWOW64\kfwnkg.exe"
                                                                                                                                                                                                                                                          111⤵
                                                                                                                                                                                                                                                          • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                          PID:4984
                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ficavz.exe
                                                                                                                                                                                                                                                            C:\Windows\system32\ficavz.exe 1120 "C:\Windows\SysWOW64\kfwnkg.exe"
                                                                                                                                                                                                                                                            112⤵
                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                            PID:3348
                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\adrvha.exe
                                                                                                                                                                                                                                                              C:\Windows\system32\adrvha.exe 1120 "C:\Windows\SysWOW64\ficavz.exe"
                                                                                                                                                                                                                                                              113⤵
                                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                              PID:1016
                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\adrvha.exe
                                                                                                                                                                                                                                                                C:\Windows\system32\adrvha.exe 1120 "C:\Windows\SysWOW64\ficavz.exe"
                                                                                                                                                                                                                                                                114⤵
                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                PID:2380
                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\nulmqp.exe
                                                                                                                                                                                                                                                                  C:\Windows\system32\nulmqp.exe 1128 "C:\Windows\SysWOW64\adrvha.exe"
                                                                                                                                                                                                                                                                  115⤵
                                                                                                                                                                                                                                                                  • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                  PID:1136
                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\nulmqp.exe
                                                                                                                                                                                                                                                                    C:\Windows\system32\nulmqp.exe 1128 "C:\Windows\SysWOW64\adrvha.exe"
                                                                                                                                                                                                                                                                    116⤵
                                                                                                                                                                                                                                                                      PID:2704
                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\ffjcdg.exe
                                                                                                                                                                                                                                                                        C:\Windows\system32\ffjcdg.exe 1000 "C:\Windows\SysWOW64\nulmqp.exe"
                                                                                                                                                                                                                                                                        117⤵
                                                                                                                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                        PID:3784
                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ffjcdg.exe
                                                                                                                                                                                                                                                                          C:\Windows\system32\ffjcdg.exe 1000 "C:\Windows\SysWOW64\nulmqp.exe"
                                                                                                                                                                                                                                                                          118⤵
                                                                                                                                                                                                                                                                            PID:2312
                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\xmjftc.exe
                                                                                                                                                                                                                                                                              C:\Windows\system32\xmjftc.exe 996 "C:\Windows\SysWOW64\ffjcdg.exe"
                                                                                                                                                                                                                                                                              119⤵
                                                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                              PID:2816
                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\xmjftc.exe
                                                                                                                                                                                                                                                                                C:\Windows\system32\xmjftc.exe 996 "C:\Windows\SysWOW64\ffjcdg.exe"
                                                                                                                                                                                                                                                                                120⤵
                                                                                                                                                                                                                                                                                  PID:1308
                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\sppaxv.exe
                                                                                                                                                                                                                                                                                    C:\Windows\system32\sppaxv.exe 1156 "C:\Windows\SysWOW64\xmjftc.exe"
                                                                                                                                                                                                                                                                                    121⤵
                                                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                    PID:3832
                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\sppaxv.exe
                                                                                                                                                                                                                                                                                      C:\Windows\system32\sppaxv.exe 1156 "C:\Windows\SysWOW64\xmjftc.exe"
                                                                                                                                                                                                                                                                                      122⤵
                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                      PID:3720
                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\nrevjw.exe
                                                                                                                                                                                                                                                                                        C:\Windows\system32\nrevjw.exe 996 "C:\Windows\SysWOW64\sppaxv.exe"
                                                                                                                                                                                                                                                                                        123⤵
                                                                                                                                                                                                                                                                                        • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                        PID:2040
                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\nrevjw.exe
                                                                                                                                                                                                                                                                                          C:\Windows\system32\nrevjw.exe 996 "C:\Windows\SysWOW64\sppaxv.exe"
                                                                                                                                                                                                                                                                                          124⤵
                                                                                                                                                                                                                                                                                            PID:4480
                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\imkiup.exe
                                                                                                                                                                                                                                                                                              C:\Windows\system32\imkiup.exe 992 "C:\Windows\SysWOW64\nrevjw.exe"
                                                                                                                                                                                                                                                                                              125⤵
                                                                                                                                                                                                                                                                                              • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                              PID:1936
                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\imkiup.exe
                                                                                                                                                                                                                                                                                                C:\Windows\system32\imkiup.exe 992 "C:\Windows\SysWOW64\nrevjw.exe"
                                                                                                                                                                                                                                                                                                126⤵
                                                                                                                                                                                                                                                                                                  PID:4896
                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\csbrju.exe
                                                                                                                                                                                                                                                                                                    C:\Windows\system32\csbrju.exe 988 "C:\Windows\SysWOW64\imkiup.exe"
                                                                                                                                                                                                                                                                                                    127⤵
                                                                                                                                                                                                                                                                                                    • Suspicious use of SetThreadContext
                                                                                                                                                                                                                                                                                                    PID:2248
                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\csbrju.exe
                                                                                                                                                                                                                                                                                                      C:\Windows\system32\csbrju.exe 988 "C:\Windows\SysWOW64\imkiup.exe"
                                                                                                                                                                                                                                                                                                      128⤵
                                                                                                                                                                                                                                                                                                        PID:864
                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\xvhmun.exe
                                                                                                                                                                                                                                                                                                          C:\Windows\system32\xvhmun.exe 1120 "C:\Windows\SysWOW64\csbrju.exe"
                                                                                                                                                                                                                                                                                                          129⤵
                                                                                                                                                                                                                                                                                                            PID:2888
                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\xvhmun.exe
                                                                                                                                                                                                                                                                                                              C:\Windows\system32\xvhmun.exe 1120 "C:\Windows\SysWOW64\csbrju.exe"
                                                                                                                                                                                                                                                                                                              130⤵
                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                              PID:2104
                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\smkuvk.exe
                                                                                                                                                                                                                                                                                                                C:\Windows\system32\smkuvk.exe 1120 "C:\Windows\SysWOW64\xvhmun.exe"
                                                                                                                                                                                                                                                                                                                131⤵
                                                                                                                                                                                                                                                                                                                  PID:2148
                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\smkuvk.exe
                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\smkuvk.exe 1120 "C:\Windows\SysWOW64\xvhmun.exe"
                                                                                                                                                                                                                                                                                                                    132⤵
                                                                                                                                                                                                                                                                                                                      PID:1136
                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\lphkib.exe
                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\lphkib.exe 1000 "C:\Windows\SysWOW64\smkuvk.exe"
                                                                                                                                                                                                                                                                                                                        133⤵
                                                                                                                                                                                                                                                                                                                          PID:4944
                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\lphkib.exe
                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\lphkib.exe 1000 "C:\Windows\SysWOW64\smkuvk.exe"
                                                                                                                                                                                                                                                                                                                            134⤵
                                                                                                                                                                                                                                                                                                                              PID:3628
                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ceinzp.exe
                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ceinzp.exe 988 "C:\Windows\SysWOW64\lphkib.exe"
                                                                                                                                                                                                                                                                                                                                135⤵
                                                                                                                                                                                                                                                                                                                                  PID:2232
                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\ceinzp.exe
                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\ceinzp.exe 988 "C:\Windows\SysWOW64\lphkib.exe"
                                                                                                                                                                                                                                                                                                                                    136⤵
                                                                                                                                                                                                                                                                                                                                      PID:1276
                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\pvdvhm.exe
                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\pvdvhm.exe 1000 "C:\Windows\SysWOW64\ceinzp.exe"
                                                                                                                                                                                                                                                                                                                                        137⤵
                                                                                                                                                                                                                                                                                                                                          PID:4516
                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\pvdvhm.exe
                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\pvdvhm.exe 1000 "C:\Windows\SysWOW64\ceinzp.exe"
                                                                                                                                                                                                                                                                                                                                            138⤵
                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                            PID:3832
                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\feybuq.exe
                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\feybuq.exe 988 "C:\Windows\SysWOW64\pvdvhm.exe"
                                                                                                                                                                                                                                                                                                                                              139⤵
                                                                                                                                                                                                                                                                                                                                                PID:4780
                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\feybuq.exe
                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\feybuq.exe 988 "C:\Windows\SysWOW64\pvdvhm.exe"
                                                                                                                                                                                                                                                                                                                                                  140⤵
                                                                                                                                                                                                                                                                                                                                                    PID:2304
                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\xszekm.exe
                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\xszekm.exe 1000 "C:\Windows\SysWOW64\feybuq.exe"
                                                                                                                                                                                                                                                                                                                                                      141⤵
                                                                                                                                                                                                                                                                                                                                                        PID:640
                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\xszekm.exe
                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\xszekm.exe 1000 "C:\Windows\SysWOW64\feybuq.exe"
                                                                                                                                                                                                                                                                                                                                                          142⤵
                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                          PID:1084
                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\pwwuyd.exe
                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\pwwuyd.exe 1120 "C:\Windows\SysWOW64\xszekm.exe"
                                                                                                                                                                                                                                                                                                                                                            143⤵
                                                                                                                                                                                                                                                                                                                                                              PID:3152
                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\pwwuyd.exe
                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\pwwuyd.exe 1120 "C:\Windows\SysWOW64\xszekm.exe"
                                                                                                                                                                                                                                                                                                                                                                144⤵
                                                                                                                                                                                                                                                                                                                                                                  PID:1360
                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\hhmkln.exe
                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\hhmkln.exe 988 "C:\Windows\SysWOW64\pwwuyd.exe"
                                                                                                                                                                                                                                                                                                                                                                    145⤵
                                                                                                                                                                                                                                                                                                                                                                      PID:2336
                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\hhmkln.exe
                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\hhmkln.exe 988 "C:\Windows\SysWOW64\pwwuyd.exe"
                                                                                                                                                                                                                                                                                                                                                                        146⤵
                                                                                                                                                                                                                                                                                                                                                                          PID:4268
                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\cvdnrf.exe
                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cvdnrf.exe 992 "C:\Windows\SysWOW64\hhmkln.exe"
                                                                                                                                                                                                                                                                                                                                                                            147⤵
                                                                                                                                                                                                                                                                                                                                                                              PID:5020
                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\cvdnrf.exe
                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cvdnrf.exe 992 "C:\Windows\SysWOW64\hhmkln.exe"
                                                                                                                                                                                                                                                                                                                                                                                148⤵
                                                                                                                                                                                                                                                                                                                                                                                  PID:5036
                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\unpvkf.exe
                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\unpvkf.exe 964 "C:\Windows\SysWOW64\cvdnrf.exe"
                                                                                                                                                                                                                                                                                                                                                                                    149⤵
                                                                                                                                                                                                                                                                                                                                                                                      PID:2844
                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\unpvkf.exe
                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\unpvkf.exe 964 "C:\Windows\SysWOW64\cvdnrf.exe"
                                                                                                                                                                                                                                                                                                                                                                                        150⤵
                                                                                                                                                                                                                                                                                                                                                                                          PID:1692
                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\szmwui.exe
                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\szmwui.exe 1120 "C:\Windows\SysWOW64\unpvkf.exe"
                                                                                                                                                                                                                                                                                                                                                                                            151⤵
                                                                                                                                                                                                                                                                                                                                                                                              PID:2296
                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\szmwui.exe
                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\szmwui.exe 1120 "C:\Windows\SysWOW64\unpvkf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                152⤵
                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                PID:1088
                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\kkjmhz.exe
                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\kkjmhz.exe 996 "C:\Windows\SysWOW64\szmwui.exe"
                                                                                                                                                                                                                                                                                                                                                                                                  153⤵
                                                                                                                                                                                                                                                                                                                                                                                                    PID:2232
                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\kkjmhz.exe
                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\kkjmhz.exe 996 "C:\Windows\SysWOW64\szmwui.exe"
                                                                                                                                                                                                                                                                                                                                                                                                      154⤵
                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                      PID:4276
                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\ffqhts.exe
                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\ffqhts.exe 1000 "C:\Windows\SysWOW64\kkjmhz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                        155⤵
                                                                                                                                                                                                                                                                                                                                                                                                          PID:2820
                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ffqhts.exe
                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\ffqhts.exe 1000 "C:\Windows\SysWOW64\kkjmhz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                            156⤵
                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                            PID:5088
                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\aiwcwt.exe
                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\aiwcwt.exe 1000 "C:\Windows\SysWOW64\ffqhts.exe"
                                                                                                                                                                                                                                                                                                                                                                                                              157⤵
                                                                                                                                                                                                                                                                                                                                                                                                                PID:3472
                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\aiwcwt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\aiwcwt.exe 1000 "C:\Windows\SysWOW64\ffqhts.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                  158⤵
                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3076
                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\hqrirx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\hqrirx.exe 1120 "C:\Windows\SysWOW64\aiwcwt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                      159⤵
                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2004
                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\hqrirx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\hqrirx.exe 1120 "C:\Windows\SysWOW64\aiwcwt.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                          160⤵
                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3396
                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ztoyep.exe
                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\ztoyep.exe 1008 "C:\Windows\SysWOW64\hqrirx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                            161⤵
                                                                                                                                                                                                                                                                                                                                                                                                                              PID:640
                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ztoyep.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ztoyep.exe 1008 "C:\Windows\SysWOW64\hqrirx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                162⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3652
                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\uwvtii.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\uwvtii.exe 968 "C:\Windows\SysWOW64\ztoyep.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                    163⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2184
                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\uwvtii.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\uwvtii.exe 968 "C:\Windows\SysWOW64\ztoyep.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                        164⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1892
                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\jibefq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\jibefq.exe 1152 "C:\Windows\SysWOW64\uwvtii.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                            165⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3384
                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\jibefq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\jibefq.exe 1152 "C:\Windows\SysWOW64\uwvtii.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                166⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4888
                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\ceccnz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\ceccnz.exe 988 "C:\Windows\SysWOW64\jibefq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                    167⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3804
                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\ceccnz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\ceccnz.exe 988 "C:\Windows\SysWOW64\jibefq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                        168⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:976
                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\uissaq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\uissaq.exe 1128 "C:\Windows\SysWOW64\ceccnz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                            169⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2776
                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\uissaq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\uissaq.exe 1128 "C:\Windows\SysWOW64\ceccnz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                170⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4432
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\mtpioi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\mtpioi.exe 1020 "C:\Windows\SysWOW64\uissaq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    171⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:376
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\mtpioi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\mtpioi.exe 1020 "C:\Windows\SysWOW64\uissaq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        172⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4420
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\eiqlee.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\eiqlee.exe 1000 "C:\Windows\SysWOW64\mtpioi.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          173⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2232
                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\eiqlee.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\eiqlee.exe 1000 "C:\Windows\SysWOW64\mtpioi.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              174⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:440
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\zzktfs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\zzktfs.exe 988 "C:\Windows\SysWOW64\eiqlee.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  175⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2100
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\zzktfs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\zzktfs.exe 988 "C:\Windows\SysWOW64\eiqlee.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      176⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:5048
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\rgtwvo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\rgtwvo.exe 1008 "C:\Windows\SysWOW64\zzktfs.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          177⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4880
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\rgtwvo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\rgtwvo.exe 1008 "C:\Windows\SysWOW64\zzktfs.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              178⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1188
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\bnxhgb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\bnxhgb.exe 992 "C:\Windows\SysWOW64\rgtwvo.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  179⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3856
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\bnxhgb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\bnxhgb.exe 992 "C:\Windows\SysWOW64\rgtwvo.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      180⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1936
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\unjkqp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\unjkqp.exe 1136 "C:\Windows\SysWOW64\bnxhgb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          181⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:60
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\unjkqp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\unjkqp.exe 1136 "C:\Windows\SysWOW64\bnxhgb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              182⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1232
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\jzqvnx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\jzqvnx.exe 1120 "C:\Windows\SysWOW64\unjkqp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  183⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2584
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\jzqvnx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\jzqvnx.exe 1120 "C:\Windows\SysWOW64\unjkqp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      184⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1016
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\bzugyk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\bzugyk.exe 1124 "C:\Windows\SysWOW64\jzqvnx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        185⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4372
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\bzugyk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\bzugyk.exe 1124 "C:\Windows\SysWOW64\jzqvnx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            186⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2576
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\uzgjjx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\uzgjjx.exe 988 "C:\Windows\SysWOW64\bzugyk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              187⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:3188
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\uzgjjx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\uzgjjx.exe 988 "C:\Windows\SysWOW64\bzugyk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  188⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3340
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\mkwzwh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\mkwzwh.exe 1120 "C:\Windows\SysWOW64\uzgjjx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      189⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4900
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\mkwzwh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\mkwzwh.exe 1120 "C:\Windows\SysWOW64\uzgjjx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          190⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1200
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\bwdslp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\bwdslp.exe 1000 "C:\Windows\SysWOW64\mkwzwh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              191⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2816
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\bwdslp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\bwdslp.exe 1000 "C:\Windows\SysWOW64\mkwzwh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  192⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1152
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\twpvwc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\twpvwc.exe 1008 "C:\Windows\SysWOW64\bwdslp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      193⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1836
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\twpvwc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\twpvwc.exe 1008 "C:\Windows\SysWOW64\bwdslp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          194⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:5108
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\mvtghq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\mvtghq.exe 1120 "C:\Windows\SysWOW64\twpvwc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              195⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:960
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\mvtghq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\mvtghq.exe 1120 "C:\Windows\SysWOW64\twpvwc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  196⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4684
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\bparwy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\bparwy.exe 1120 "C:\Windows\SysWOW64\mvtghq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      197⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4880
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\bparwy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\bparwy.exe 1120 "C:\Windows\SysWOW64\mvtghq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          198⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3060
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\jqvwic.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\jqvwic.exe 1120 "C:\Windows\SysWOW64\bparwy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            199⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3468
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\jqvwic.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\jqvwic.exe 1120 "C:\Windows\SysWOW64\bparwy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                200⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1540
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\bxhztp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\bxhztp.exe 988 "C:\Windows\SysWOW64\jqvwic.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  201⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2092
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\bxhztp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\bxhztp.exe 988 "C:\Windows\SysWOW64\jqvwic.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      202⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4140
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\qjgsqx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\qjgsqx.exe 1012 "C:\Windows\SysWOW64\bxhztp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          203⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1956
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\qjgsqx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\qjgsqx.exe 1012 "C:\Windows\SysWOW64\bxhztp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              204⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:464
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\indidp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\indidp.exe 1008 "C:\Windows\SysWOW64\qjgsqx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                205⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2400
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\indidp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\indidp.exe 1008 "C:\Windows\SysWOW64\qjgsqx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    206⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1592
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\eandbh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\eandbh.exe 1012 "C:\Windows\SysWOW64\indidp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      207⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2044
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\eandbh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\eandbh.exe 1012 "C:\Windows\SysWOW64\indidp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          208⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2820
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\tuuozp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\tuuozp.exe 1000 "C:\Windows\SysWOW64\eandbh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              209⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:664
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\tuuozp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\tuuozp.exe 1000 "C:\Windows\SysWOW64\eandbh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  210⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3992
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\jgahox.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\jgahox.exe 1120 "C:\Windows\SysWOW64\tuuozp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    211⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2508
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\jgahox.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\jgahox.exe 1120 "C:\Windows\SysWOW64\tuuozp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        212⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3380
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\wmuuzw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\wmuuzw.exe 1120 "C:\Windows\SysWOW64\jgahox.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            213⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2892
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\wmuuzw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\wmuuzw.exe 1120 "C:\Windows\SysWOW64\jgahox.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                214⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:5004
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\oxjknf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\oxjknf.exe 1000 "C:\Windows\SysWOW64\wmuuzw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  215⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:5072
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\oxjknf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\oxjknf.exe 1000 "C:\Windows\SysWOW64\wmuuzw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      216⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1308
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\jomswc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\jomswc.exe 1008 "C:\Windows\SysWOW64\oxjknf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          217⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4788
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\jomswc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\jomswc.exe 1008 "C:\Windows\SysWOW64\oxjknf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              218⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4784
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\dudbkz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\dudbkz.exe 1012 "C:\Windows\SysWOW64\jomswc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  219⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:880
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\dudbkz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\dudbkz.exe 1012 "C:\Windows\SysWOW64\jomswc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      220⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:3900
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\qpkwwa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\qpkwwa.exe 1000 "C:\Windows\SysWOW64\dudbkz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          221⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4776
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\qpkwwa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\qpkwwa.exe 1000 "C:\Windows\SysWOW64\dudbkz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              222⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3936
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\iekzmw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\iekzmw.exe 1120 "C:\Windows\SysWOW64\qpkwwa.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                223⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4712
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\iekzmw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\iekzmw.exe 1120 "C:\Windows\SysWOW64\qpkwwa.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    224⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:5052
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\dvnhnl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\dvnhnl.exe 996 "C:\Windows\SysWOW64\iekzmw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      225⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:5020
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\dvnhnl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\dvnhnl.exe 996 "C:\Windows\SysWOW64\iekzmw.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          226⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2844
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\yytcyl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\yytcyl.exe 1156 "C:\Windows\SysWOW64\dvnhnl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              227⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1984
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\yytcyl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\yytcyl.exe 1156 "C:\Windows\SysWOW64\dvnhnl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  228⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2092
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\qmcfoh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\qmcfoh.exe 988 "C:\Windows\SysWOW64\yytcyl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    229⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2112
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\qmcfoh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\qmcfoh.exe 988 "C:\Windows\SysWOW64\yytcyl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        230⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1836
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ovntvf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\ovntvf.exe 1000 "C:\Windows\SysWOW64\qmcfoh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          231⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:5004
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\ovntvf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\ovntvf.exe 1000 "C:\Windows\SysWOW64\qmcfoh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              232⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2156
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\gkowmb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\gkowmb.exe 1000 "C:\Windows\SysWOW64\ovntvf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  233⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3340
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\gkowmb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\gkowmb.exe 1000 "C:\Windows\SysWOW64\ovntvf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      234⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:376
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\bbreuq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\bbreuq.exe 1000 "C:\Windows\SysWOW64\gkowmb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          235⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:3056
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\bbreuq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\bbreuq.exe 1000 "C:\Windows\SysWOW64\gkowmb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              236⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:640
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\tqrhlm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\tqrhlm.exe 1000 "C:\Windows\SysWOW64\bbreuq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                237⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4500
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\tqrhlm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\tqrhlm.exe 1000 "C:\Windows\SysWOW64\bbreuq.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    238⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:4488
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\ltpxyd.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\ltpxyd.exe 992 "C:\Windows\SysWOW64\tqrhlm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        239⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1224
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ltpxyd.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\ltpxyd.exe 992 "C:\Windows\SysWOW64\tqrhlm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            240⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1004
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\xzgffb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\xzgffb.exe 1120 "C:\Windows\SysWOW64\ltpxyd.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                241⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1500
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\xzgffb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\xzgffb.exe 1120 "C:\Windows\SysWOW64\ltpxyd.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    242⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3716
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\scmbqc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\scmbqc.exe 1128 "C:\Windows\SysWOW64\xzgffb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        243⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4944
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\scmbqc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\scmbqc.exe 1128 "C:\Windows\SysWOW64\xzgffb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            244⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:5072
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\nxswcu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\nxswcu.exe 1120 "C:\Windows\SysWOW64\scmbqc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                245⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2392
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\nxswcu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\nxswcu.exe 1120 "C:\Windows\SysWOW64\scmbqc.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    246⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4412
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\izgjnv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\izgjnv.exe 996 "C:\Windows\SysWOW64\nxswcu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      247⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4788
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\izgjnv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\izgjnv.exe 996 "C:\Windows\SysWOW64\nxswcu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          248⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4532
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\adwhbf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\adwhbf.exe 988 "C:\Windows\SysWOW64\izgjnv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              249⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2256
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\adwhbf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\adwhbf.exe 988 "C:\Windows\SysWOW64\izgjnv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  250⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:664
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\sotxox.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\sotxox.exe 960 "C:\Windows\SysWOW64\adwhbf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      251⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4728
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\sotxox.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\sotxox.exe 960 "C:\Windows\SysWOW64\adwhbf.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          252⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2868
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\krjnco.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\krjnco.exe 992 "C:\Windows\SysWOW64\sotxox.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            253⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2732
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\krjnco.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\krjnco.exe 992 "C:\Windows\SysWOW64\sotxox.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                254⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4372
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\gfajag.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\gfajag.exe 1128 "C:\Windows\SysWOW64\krjnco.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    255⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3636
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\gfajag.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\gfajag.exe 1128 "C:\Windows\SysWOW64\krjnco.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        256⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4568
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\xubmyu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\xubmyu.exe 1120 "C:\Windows\SysWOW64\gfajag.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            257⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1956
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\xubmyu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\xubmyu.exe 1120 "C:\Windows\SysWOW64\gfajag.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                258⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2856
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\qtnxii.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\qtnxii.exe 996 "C:\Windows\SysWOW64\xubmyu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    259⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1112
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\qtnxii.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\qtnxii.exe 996 "C:\Windows\SysWOW64\xubmyu.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        260⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3628
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\itzalv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\itzalv.exe 1008 "C:\Windows\SysWOW64\qtnxii.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            261⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2360
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\itzalv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\itzalv.exe 1008 "C:\Windows\SysWOW64\qtnxii.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                262⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4900
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\pjjxlh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\pjjxlh.exe 1116 "C:\Windows\SysWOW64\itzalv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    263⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2296
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\pjjxlh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\pjjxlh.exe 1116 "C:\Windows\SysWOW64\itzalv.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        264⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3428
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\frfdyl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\frfdyl.exe 1116 "C:\Windows\SysWOW64\pjjxlh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            265⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3772
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\frfdyl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\frfdyl.exe 1116 "C:\Windows\SysWOW64\pjjxlh.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                266⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2040
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\xcutld.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\xcutld.exe 1084 "C:\Windows\SysWOW64\frfdyl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    267⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2636
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\xcutld.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\xcutld.exe 1084 "C:\Windows\SysWOW64\frfdyl.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        268⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4336
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\stxbuz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\stxbuz.exe 1000 "C:\Windows\SysWOW64\xcutld.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            269⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1000
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\stxbuz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\stxbuz.exe 1000 "C:\Windows\SysWOW64\xcutld.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                270⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:852
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\nwdxfs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\nwdxfs.exe 1000 "C:\Windows\SysWOW64\stxbuz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  271⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2288
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\nwdxfs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\nwdxfs.exe 1000 "C:\Windows\SysWOW64\stxbuz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      272⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3816
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\hcufmy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\hcufmy.exe 1008 "C:\Windows\SysWOW64\nwdxfs.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        273⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3452
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\hcufmy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\hcufmy.exe 1008 "C:\Windows\SysWOW64\nwdxfs.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            274⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:4832
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\dtxnvm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\dtxnvm.exe 988 "C:\Windows\SysWOW64\hcufmy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                275⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2268
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\dtxnvm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\dtxnvm.exe 988 "C:\Windows\SysWOW64\hcufmy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    276⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:956
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\uiyqli.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\uiyqli.exe 992 "C:\Windows\SysWOW64\dtxnvm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        277⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4116
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\uiyqli.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\uiyqli.exe 992 "C:\Windows\SysWOW64\dtxnvm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            278⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2132
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\pdelwb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\pdelwb.exe 1004 "C:\Windows\SysWOW64\uiyqli.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              279⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:3692
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\pdelwb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\pdelwb.exe 1004 "C:\Windows\SysWOW64\uiyqli.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  280⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2296
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\kgshic.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\kgshic.exe 996 "C:\Windows\SysWOW64\pdelwb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    281⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:4880
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\kgshic.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\kgshic.exe 996 "C:\Windows\SysWOW64\pdelwb.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        282⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:3428
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\faycmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\faycmd.exe 1120 "C:\Windows\SysWOW64\kgshic.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          283⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1712
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\faycmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\faycmd.exe 1120 "C:\Windows\SysWOW64\kgshic.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              284⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:3556
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\myiamp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\myiamp.exe 1000 "C:\Windows\SysWOW64\faycmd.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  285⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2236
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\myiamp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\myiamp.exe 1000 "C:\Windows\SysWOW64\faycmd.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      286⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2632
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\hlavka.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\hlavka.exe 996 "C:\Windows\SysWOW64\myiamp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          287⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:3804
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\hlavka.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\hlavka.exe 996 "C:\Windows\SysWOW64\myiamp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              288⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2508
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\zemlla.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\zemlla.exe 996 "C:\Windows\SysWOW64\hlavka.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  289⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:336
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\zemlla.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\zemlla.exe 996 "C:\Windows\SysWOW64\hlavka.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      290⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1140
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\uysgot.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\uysgot.exe 1000 "C:\Windows\SysWOW64\zemlla.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        291⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:976
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\uysgot.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\uysgot.exe 1000 "C:\Windows\SysWOW64\zemlla.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            292⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:792
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\mkpwck.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\mkpwck.exe 1008 "C:\Windows\SysWOW64\uysgot.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                293⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3136
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\mkpwck.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\mkpwck.exe 1008 "C:\Windows\SysWOW64\uysgot.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    294⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4100
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\ejbzmy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\ejbzmy.exe 1000 "C:\Windows\SysWOW64\mkpwck.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      295⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4316
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\ejbzmy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\ejbzmy.exe 1000 "C:\Windows\SysWOW64\mkpwck.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          296⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4984
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\uolsex.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\uolsex.exe 992 "C:\Windows\SysWOW64\ejbzmy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              297⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4204
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\uolsex.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\uolsex.exe 992 "C:\Windows\SysWOW64\ejbzmy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  298⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2040
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\msbirp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\msbirp.exe 1000 "C:\Windows\SysWOW64\uolsex.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    299⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2816
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\msbirp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\msbirp.exe 1000 "C:\Windows\SysWOW64\uolsex.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        300⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1604
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\ceiahx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\ceiahx.exe 1120 "C:\Windows\SysWOW64\msbirp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            301⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:1856
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\ceiahx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\ceiahx.exe 1120 "C:\Windows\SysWOW64\msbirp.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                302⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3860
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\ududrk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\ududrk.exe 992 "C:\Windows\SysWOW64\ceiahx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    303⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3248
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\SysWOW64\ududrk.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\ududrk.exe 992 "C:\Windows\SysWOW64\ceiahx.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        304⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2168
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\edypcy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\edypcy.exe 1008 "C:\Windows\SysWOW64\ududrk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          305⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:3148
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\edypcy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\edypcy.exe 1008 "C:\Windows\SysWOW64\ududrk.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              306⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:3628
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\SysWOW64\uxfzrg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\uxfzrg.exe 1064 "C:\Windows\SysWOW64\edypcy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  307⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:60
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\uxfzrg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\uxfzrg.exe 1064 "C:\Windows\SysWOW64\edypcy.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      308⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4880
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\poziac.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\poziac.exe 1008 "C:\Windows\SysWOW64\uxfzrg.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          309⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1184
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\SysWOW64\poziac.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\poziac.exe 1008 "C:\Windows\SysWOW64\uxfzrg.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              310⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3536
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\SysWOW64\hrxynm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\hrxynm.exe 1000 "C:\Windows\SysWOW64\poziac.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                311⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4776
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\SysWOW64\hrxynm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\hrxynm.exe 1000 "C:\Windows\SysWOW64\poziac.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    312⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2184
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\SysWOW64\zzjjyz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\zzjjyz.exe 996 "C:\Windows\SysWOW64\hrxynm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      313⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4112
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\SysWOW64\zzjjyz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\zzjjyz.exe 996 "C:\Windows\SysWOW64\hrxynm.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          314⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1984
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\optgqm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\optgqm.exe 1120 "C:\Windows\SysWOW64\zzjjyz.exe"
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            315⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3636
                                                                                                                                                                                                                                                                                                                                                        • C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
                                                                                                                                                                                                                                                                                                                                                          "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --field-trial-handle=4088,i,2113996974559895641,18156918660790954073,262144 --variations-seed-version --mojo-platform-channel-handle=4412 /prefetch:8
                                                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                                                            PID:4692

                                                                                                                                                                                                                                                                                                                                                          Network

                                                                                                                                                                                                                                                                                                                                                          MITRE ATT&CK Matrix

                                                                                                                                                                                                                                                                                                                                                          Replay Monitor

                                                                                                                                                                                                                                                                                                                                                          Loading Replay Monitor...

                                                                                                                                                                                                                                                                                                                                                          Downloads

                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\SysWOW64\fahfmz.exe

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            471KB

                                                                                                                                                                                                                                                                                                                                                            MD5

                                                                                                                                                                                                                                                                                                                                                            06026e4203f13fffe9d741a6872a75ae

                                                                                                                                                                                                                                                                                                                                                            SHA1

                                                                                                                                                                                                                                                                                                                                                            4bd5ff87c0efda2cafd1cb3254f46955d52a12ec

                                                                                                                                                                                                                                                                                                                                                            SHA256

                                                                                                                                                                                                                                                                                                                                                            ec530b5f552febe9631fb4d1fd90e74ef21be4093eb9cde42657bf2dfeb6a486

                                                                                                                                                                                                                                                                                                                                                            SHA512

                                                                                                                                                                                                                                                                                                                                                            37e9d3bf7a38fc16b323c49034f0c754dcd09d2c6c6679b4226bf9d8a659867b2ca27a8d2798f3e0a0ef1f3641761664a6d6b9a6a69ed84b4d2881a8324d3962

                                                                                                                                                                                                                                                                                                                                                          • memory/316-127-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/412-157-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/1076-97-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/1128-137-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/2032-67-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/2728-107-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/2924-47-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/3896-17-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/3896-25-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4272-77-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4284-87-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4320-117-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4628-38-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4628-30-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4632-147-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4688-57-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4884-1-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4884-12-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4884-3-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB

                                                                                                                                                                                                                                                                                                                                                          • memory/4884-2-0x0000000000400000-0x000000000050D000-memory.dmp

                                                                                                                                                                                                                                                                                                                                                            Filesize

                                                                                                                                                                                                                                                                                                                                                            1.1MB