xmrig | 1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc

Analysis

max time kernel
149s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20240611-en
resource tags

arch:x64arch:x86image:win10v2004-20240611-enlocale:en-usos:windows10-2004-x64system
submitted
25/06/2024, 21:24

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
Size

1.5MB
MD5

a791caa8f312a7c5528d68f76f1f9f40
SHA1

ab061e14728d331c9ec2732983ee573486852946
SHA256

1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc
SHA512

b1e585d6f5a2207ace3c3ae38aaad6f78237bf9a3dc8934dea2cd18e82ccea74972cd5dbab0848ea4e805471fdb901a06f7f6b3cf82ea1e4c63f121d4956e13d
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XCR9Qx7w8RG9ZScsuHxHQg3asHqLdlPb:knw9oUUEEDlGUrk7SSfuK/

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/3220-19-0x00007FF674120000-0x00007FF674511000-memory.dmp	xmrig
behavioral2/memory/2720-44-0x00007FF7421B0000-0x00007FF7425A1000-memory.dmp	xmrig
behavioral2/memory/696-372-0x00007FF6EBC70000-0x00007FF6EC061000-memory.dmp	xmrig
behavioral2/memory/672-373-0x00007FF6F8340000-0x00007FF6F8731000-memory.dmp	xmrig
behavioral2/memory/1524-50-0x00007FF689C30000-0x00007FF68A021000-memory.dmp	xmrig
behavioral2/memory/60-39-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp	xmrig
behavioral2/memory/5092-375-0x00007FF7FA9D0000-0x00007FF7FADC1000-memory.dmp	xmrig
behavioral2/memory/4044-374-0x00007FF6ED6A0000-0x00007FF6EDA91000-memory.dmp	xmrig
behavioral2/memory/4984-376-0x00007FF70D6A0000-0x00007FF70DA91000-memory.dmp	xmrig
behavioral2/memory/1272-379-0x00007FF7F25C0000-0x00007FF7F29B1000-memory.dmp	xmrig
behavioral2/memory/3200-380-0x00007FF79FE70000-0x00007FF7A0261000-memory.dmp	xmrig
behavioral2/memory/2416-381-0x00007FF7E03B0000-0x00007FF7E07A1000-memory.dmp	xmrig
behavioral2/memory/1236-382-0x00007FF65C130000-0x00007FF65C521000-memory.dmp	xmrig
behavioral2/memory/2868-385-0x00007FF729280000-0x00007FF729671000-memory.dmp	xmrig
behavioral2/memory/3024-391-0x00007FF773370000-0x00007FF773761000-memory.dmp	xmrig
behavioral2/memory/3712-388-0x00007FF7333D0000-0x00007FF7337C1000-memory.dmp	xmrig
behavioral2/memory/316-384-0x00007FF7B7190000-0x00007FF7B7581000-memory.dmp	xmrig
behavioral2/memory/3352-383-0x00007FF63A910000-0x00007FF63AD01000-memory.dmp	xmrig
behavioral2/memory/4928-378-0x00007FF6BFAD0000-0x00007FF6BFEC1000-memory.dmp	xmrig
behavioral2/memory/5044-377-0x00007FF639F70000-0x00007FF63A361000-memory.dmp	xmrig
behavioral2/memory/3816-1482-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp	xmrig
behavioral2/memory/400-1969-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp	xmrig
behavioral2/memory/512-1970-0x00007FF671160000-0x00007FF671551000-memory.dmp	xmrig
behavioral2/memory/60-1971-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp	xmrig
behavioral2/memory/3816-2005-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp	xmrig
behavioral2/memory/2256-2010-0x00007FF716590000-0x00007FF716981000-memory.dmp	xmrig
behavioral2/memory/932-2033-0x00007FF603ED0000-0x00007FF6042C1000-memory.dmp	xmrig
behavioral2/memory/3220-2031-0x00007FF674120000-0x00007FF674511000-memory.dmp	xmrig
behavioral2/memory/512-2041-0x00007FF671160000-0x00007FF671551000-memory.dmp	xmrig
behavioral2/memory/60-2039-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp	xmrig
behavioral2/memory/2720-2037-0x00007FF7421B0000-0x00007FF7425A1000-memory.dmp	xmrig
behavioral2/memory/400-2035-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp	xmrig
behavioral2/memory/1524-2045-0x00007FF689C30000-0x00007FF68A021000-memory.dmp	xmrig
behavioral2/memory/696-2049-0x00007FF6EBC70000-0x00007FF6EC061000-memory.dmp	xmrig
behavioral2/memory/5092-2055-0x00007FF7FA9D0000-0x00007FF7FADC1000-memory.dmp	xmrig
behavioral2/memory/4928-2057-0x00007FF6BFAD0000-0x00007FF6BFEC1000-memory.dmp	xmrig
behavioral2/memory/672-2054-0x00007FF6F8340000-0x00007FF6F8731000-memory.dmp	xmrig
behavioral2/memory/4984-2051-0x00007FF70D6A0000-0x00007FF70DA91000-memory.dmp	xmrig
behavioral2/memory/4044-2047-0x00007FF6ED6A0000-0x00007FF6EDA91000-memory.dmp	xmrig
behavioral2/memory/5044-2043-0x00007FF639F70000-0x00007FF63A361000-memory.dmp	xmrig
behavioral2/memory/1272-2065-0x00007FF7F25C0000-0x00007FF7F29B1000-memory.dmp	xmrig
behavioral2/memory/3200-2059-0x00007FF79FE70000-0x00007FF7A0261000-memory.dmp	xmrig
behavioral2/memory/3024-2082-0x00007FF773370000-0x00007FF773761000-memory.dmp	xmrig
behavioral2/memory/2868-2074-0x00007FF729280000-0x00007FF729671000-memory.dmp	xmrig
behavioral2/memory/3352-2069-0x00007FF63A910000-0x00007FF63AD01000-memory.dmp	xmrig
behavioral2/memory/3712-2067-0x00007FF7333D0000-0x00007FF7337C1000-memory.dmp	xmrig
behavioral2/memory/316-2072-0x00007FF7B7190000-0x00007FF7B7581000-memory.dmp	xmrig
behavioral2/memory/2416-2063-0x00007FF7E03B0000-0x00007FF7E07A1000-memory.dmp	xmrig
behavioral2/memory/1236-2061-0x00007FF65C130000-0x00007FF65C521000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2256	Cjywukb.exe
932	Fwngqnd.exe
3220	OkUNfQi.exe
400	saQcNDu.exe
512	GlcZtMJ.exe
60	aHSRPUk.exe
2720	GjjDfWY.exe
1524	WcgqlwX.exe
696	VpRXbqm.exe
672	RYpreWM.exe
4044	RGnucvt.exe
5092	DpeKoZs.exe
4984	qounwmX.exe
5044	FXHZPeL.exe
4928	ItXIhLT.exe
1272	FUWlkhc.exe
3200	XaGXVIN.exe
2416	CBPTNjk.exe
1236	KcKxLMr.exe
3352	BPxfgxq.exe
316	yinJlrx.exe
2868	gKfPifd.exe
3712	nCRxiOI.exe
3024	EtcczxC.exe
2100	lHvuOuE.exe
752	axNzASB.exe
2772	BoZULxM.exe
2104	BIZbqsl.exe
836	CJjUAZe.exe
3588	giglEnA.exe
2544	GudhBTL.exe
936	vKmWCFd.exe
3048	iGGcKWm.exe
3600	eYycdRz.exe
4396	NOWZapo.exe
4000	VUDTVAV.exe
4340	isJuLya.exe
1232	tLWObTE.exe
3224	jkUlLLR.exe
4504	kJhDLQs.exe
2376	QeBXTXD.exe
3700	LwHauxN.exe
4700	OurNQPZ.exe
4880	gvYEBwB.exe
4312	bSkXCDt.exe
4276	qeqTHsy.exe
4844	nqpbEjV.exe
720	acduyOT.exe
3728	iflfbxL.exe
1992	tlVjCwf.exe
4580	cLNGZoD.exe
2060	yAHrEjm.exe
2960	RLoQodu.exe
2836	SkWowKZ.exe
5116	UMBOZyZ.exe
3396	hzBVkgw.exe
2952	CSQbDQw.exe
1008	KfJgIUd.exe
1824	PQjZzPE.exe
5020	scsqlMj.exe
3620	RaQlwZV.exe
2024	hpDhfLc.exe
2880	MMKVTec.exe
3404	jFRVBRp.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/3816-0-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp	upx
behavioral2/files/0x0008000000023565-5.dat	upx
behavioral2/memory/2256-7-0x00007FF716590000-0x00007FF716981000-memory.dmp	upx
behavioral2/files/0x0007000000023569-11.dat	upx
behavioral2/files/0x000700000002356a-10.dat	upx
behavioral2/memory/3220-19-0x00007FF674120000-0x00007FF674511000-memory.dmp	upx
behavioral2/memory/932-13-0x00007FF603ED0000-0x00007FF6042C1000-memory.dmp	upx
behavioral2/files/0x000700000002356b-22.dat	upx
behavioral2/files/0x000700000002356c-29.dat	upx
behavioral2/memory/400-25-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp	upx
behavioral2/memory/512-34-0x00007FF671160000-0x00007FF671551000-memory.dmp	upx
behavioral2/files/0x000700000002356d-32.dat	upx
behavioral2/files/0x000700000002356e-42.dat	upx
behavioral2/memory/2720-44-0x00007FF7421B0000-0x00007FF7425A1000-memory.dmp	upx
behavioral2/files/0x000700000002356f-48.dat	upx
behavioral2/files/0x0007000000023570-54.dat	upx
behavioral2/files/0x0008000000023566-57.dat	upx
behavioral2/files/0x0007000000023573-74.dat	upx
behavioral2/files/0x0007000000023574-79.dat	upx
behavioral2/files/0x000700000002357d-124.dat	upx
behavioral2/files/0x0007000000023583-154.dat	upx
behavioral2/files/0x0007000000023585-164.dat	upx
behavioral2/memory/696-372-0x00007FF6EBC70000-0x00007FF6EC061000-memory.dmp	upx
behavioral2/memory/672-373-0x00007FF6F8340000-0x00007FF6F8731000-memory.dmp	upx
behavioral2/files/0x0007000000023586-169.dat	upx
behavioral2/files/0x0007000000023584-159.dat	upx
behavioral2/files/0x0007000000023582-149.dat	upx
behavioral2/files/0x0007000000023581-144.dat	upx
behavioral2/files/0x0007000000023580-139.dat	upx
behavioral2/files/0x000700000002357f-134.dat	upx
behavioral2/files/0x000700000002357e-129.dat	upx
behavioral2/files/0x000700000002357c-119.dat	upx
behavioral2/files/0x000700000002357b-114.dat	upx
behavioral2/files/0x000700000002357a-109.dat	upx
behavioral2/files/0x0007000000023579-104.dat	upx
behavioral2/files/0x0007000000023578-99.dat	upx
behavioral2/files/0x0007000000023577-94.dat	upx
behavioral2/files/0x0007000000023576-89.dat	upx
behavioral2/files/0x0007000000023575-84.dat	upx
behavioral2/files/0x0007000000023572-69.dat	upx
behavioral2/files/0x0007000000023571-64.dat	upx
behavioral2/memory/1524-50-0x00007FF689C30000-0x00007FF68A021000-memory.dmp	upx
behavioral2/memory/60-39-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp	upx
behavioral2/memory/5092-375-0x00007FF7FA9D0000-0x00007FF7FADC1000-memory.dmp	upx
behavioral2/memory/4044-374-0x00007FF6ED6A0000-0x00007FF6EDA91000-memory.dmp	upx
behavioral2/memory/4984-376-0x00007FF70D6A0000-0x00007FF70DA91000-memory.dmp	upx
behavioral2/memory/1272-379-0x00007FF7F25C0000-0x00007FF7F29B1000-memory.dmp	upx
behavioral2/memory/3200-380-0x00007FF79FE70000-0x00007FF7A0261000-memory.dmp	upx
behavioral2/memory/2416-381-0x00007FF7E03B0000-0x00007FF7E07A1000-memory.dmp	upx
behavioral2/memory/1236-382-0x00007FF65C130000-0x00007FF65C521000-memory.dmp	upx
behavioral2/memory/2868-385-0x00007FF729280000-0x00007FF729671000-memory.dmp	upx
behavioral2/memory/3024-391-0x00007FF773370000-0x00007FF773761000-memory.dmp	upx
behavioral2/memory/3712-388-0x00007FF7333D0000-0x00007FF7337C1000-memory.dmp	upx
behavioral2/memory/316-384-0x00007FF7B7190000-0x00007FF7B7581000-memory.dmp	upx
behavioral2/memory/3352-383-0x00007FF63A910000-0x00007FF63AD01000-memory.dmp	upx
behavioral2/memory/4928-378-0x00007FF6BFAD0000-0x00007FF6BFEC1000-memory.dmp	upx
behavioral2/memory/5044-377-0x00007FF639F70000-0x00007FF63A361000-memory.dmp	upx
behavioral2/memory/3816-1482-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp	upx
behavioral2/memory/400-1969-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp	upx
behavioral2/memory/512-1970-0x00007FF671160000-0x00007FF671551000-memory.dmp	upx
behavioral2/memory/60-1971-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp	upx
behavioral2/memory/3816-2005-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp	upx
behavioral2/memory/2256-2010-0x00007FF716590000-0x00007FF716981000-memory.dmp	upx
behavioral2/memory/932-2033-0x00007FF603ED0000-0x00007FF6042C1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\SkLYKRj.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\yAHrEjm.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\aDJzTjy.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\LBQWQeG.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\PnixjxB.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\RrxmwTd.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\ZngNTIO.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\GoueTsL.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\wAdBGZg.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\rJhJAJL.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\nCRxiOI.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\CJjUAZe.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\KfnHhUT.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\xivScHS.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\ZevYcrW.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\SGAjMMY.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\TdGikOo.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\bazFCyT.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\sTHwetC.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\DhRQOcN.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\lOFhGvm.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\uBAvVCV.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\VvgluxJ.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\YBnyhGA.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\xyliNRT.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\dXEOtbm.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\IJDMsZd.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\hRGlBsX.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\jFVbZep.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\ctwogyM.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\YdejKfw.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\iflfbxL.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\CLVjjzt.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\ivwzZoc.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\SIwnAWf.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\LyuOlAA.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\wzbMcBA.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\nLnzIMd.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\bRfeGUw.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\FUWlkhc.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\rHUyFGz.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\ueIWaKn.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\pwzbsTt.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\YOEWajI.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\TOHmrCB.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\LkiETxB.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\fHrnlcf.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\xbyiFoz.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\gwToyzV.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\iiJHngN.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\WhxImnF.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\efVioUx.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\gALciGe.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\BiQEZWe.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\DvHBaZY.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\aUhNqoC.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\IorxOUN.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\OzIpcxy.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\DggytIu.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\NKJEKqN.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\cHeNqmW.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\wPWkGeZ.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\KldCHgS.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
File created	C:\Windows\System32\ZXdcaxm.exe	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	3732	dwm.exe
Token: SeChangeNotifyPrivilege	3732	dwm.exe
Token: 33	3732	dwm.exe
Token: SeIncBasePriorityPrivilege	3732	dwm.exe
Token: SeShutdownPrivilege	3732	dwm.exe
Token: SeCreatePagefilePrivilege	3732	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3816 wrote to memory of 2256	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	84
PID 3816 wrote to memory of 2256	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	84
PID 3816 wrote to memory of 932	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	85
PID 3816 wrote to memory of 932	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	85
PID 3816 wrote to memory of 3220	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	86
PID 3816 wrote to memory of 3220	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	86
PID 3816 wrote to memory of 400	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	87
PID 3816 wrote to memory of 400	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	87
PID 3816 wrote to memory of 512	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	88
PID 3816 wrote to memory of 512	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	88
PID 3816 wrote to memory of 60	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	89
PID 3816 wrote to memory of 60	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	89
PID 3816 wrote to memory of 2720	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	90
PID 3816 wrote to memory of 2720	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	90
PID 3816 wrote to memory of 1524	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	91
PID 3816 wrote to memory of 1524	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	91
PID 3816 wrote to memory of 696	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	92
PID 3816 wrote to memory of 696	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	92
PID 3816 wrote to memory of 672	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	93
PID 3816 wrote to memory of 672	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	93
PID 3816 wrote to memory of 4044	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	94
PID 3816 wrote to memory of 4044	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	94
PID 3816 wrote to memory of 5092	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	95
PID 3816 wrote to memory of 5092	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	95
PID 3816 wrote to memory of 4984	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	96
PID 3816 wrote to memory of 4984	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	96
PID 3816 wrote to memory of 5044	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	97
PID 3816 wrote to memory of 5044	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	97
PID 3816 wrote to memory of 4928	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	98
PID 3816 wrote to memory of 4928	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	98
PID 3816 wrote to memory of 1272	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	99
PID 3816 wrote to memory of 1272	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	99
PID 3816 wrote to memory of 3200	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	100
PID 3816 wrote to memory of 3200	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	100
PID 3816 wrote to memory of 2416	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	101
PID 3816 wrote to memory of 2416	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	101
PID 3816 wrote to memory of 1236	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	102
PID 3816 wrote to memory of 1236	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	102
PID 3816 wrote to memory of 3352	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	103
PID 3816 wrote to memory of 3352	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	103
PID 3816 wrote to memory of 316	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	104
PID 3816 wrote to memory of 316	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	104
PID 3816 wrote to memory of 2868	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	105
PID 3816 wrote to memory of 2868	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	105
PID 3816 wrote to memory of 3712	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	106
PID 3816 wrote to memory of 3712	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	106
PID 3816 wrote to memory of 3024	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	107
PID 3816 wrote to memory of 3024	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	107
PID 3816 wrote to memory of 2100	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	108
PID 3816 wrote to memory of 2100	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	108
PID 3816 wrote to memory of 752	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	109
PID 3816 wrote to memory of 752	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	109
PID 3816 wrote to memory of 2772	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	110
PID 3816 wrote to memory of 2772	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	110
PID 3816 wrote to memory of 2104	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	111
PID 3816 wrote to memory of 2104	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	111
PID 3816 wrote to memory of 836	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	112
PID 3816 wrote to memory of 836	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	112
PID 3816 wrote to memory of 3588	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	113
PID 3816 wrote to memory of 3588	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	113
PID 3816 wrote to memory of 2544	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	114
PID 3816 wrote to memory of 2544	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	114
PID 3816 wrote to memory of 936	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	115
PID 3816 wrote to memory of 936	3816	1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\1196954ec6e1c4e8d670b1683501773bc06dd92ba021702b479e2db6b3eb2efc_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3816
- C:\Windows\System32\Cjywukb.exe
  C:\Windows\System32\Cjywukb.exe
  2⤵
  - Executes dropped EXE
  PID:2256
- C:\Windows\System32\Fwngqnd.exe
  C:\Windows\System32\Fwngqnd.exe
  2⤵
  - Executes dropped EXE
  PID:932
- C:\Windows\System32\OkUNfQi.exe
  C:\Windows\System32\OkUNfQi.exe
  2⤵
  - Executes dropped EXE
  PID:3220
- C:\Windows\System32\saQcNDu.exe
  C:\Windows\System32\saQcNDu.exe
  2⤵
  - Executes dropped EXE
  PID:400
- C:\Windows\System32\GlcZtMJ.exe
  C:\Windows\System32\GlcZtMJ.exe
  2⤵
  - Executes dropped EXE
  PID:512
- C:\Windows\System32\aHSRPUk.exe
  C:\Windows\System32\aHSRPUk.exe
  2⤵
  - Executes dropped EXE
  PID:60
- C:\Windows\System32\GjjDfWY.exe
  C:\Windows\System32\GjjDfWY.exe
  2⤵
  - Executes dropped EXE
  PID:2720
- C:\Windows\System32\WcgqlwX.exe
  C:\Windows\System32\WcgqlwX.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\VpRXbqm.exe
  C:\Windows\System32\VpRXbqm.exe
  2⤵
  - Executes dropped EXE
  PID:696
- C:\Windows\System32\RYpreWM.exe
  C:\Windows\System32\RYpreWM.exe
  2⤵
  - Executes dropped EXE
  PID:672
- C:\Windows\System32\RGnucvt.exe
  C:\Windows\System32\RGnucvt.exe
  2⤵
  - Executes dropped EXE
  PID:4044
- C:\Windows\System32\DpeKoZs.exe
  C:\Windows\System32\DpeKoZs.exe
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\System32\qounwmX.exe
  C:\Windows\System32\qounwmX.exe
  2⤵
  - Executes dropped EXE
  PID:4984
- C:\Windows\System32\FXHZPeL.exe
  C:\Windows\System32\FXHZPeL.exe
  2⤵
  - Executes dropped EXE
  PID:5044
- C:\Windows\System32\ItXIhLT.exe
  C:\Windows\System32\ItXIhLT.exe
  2⤵
  - Executes dropped EXE
  PID:4928
- C:\Windows\System32\FUWlkhc.exe
  C:\Windows\System32\FUWlkhc.exe
  2⤵
  - Executes dropped EXE
  PID:1272
- C:\Windows\System32\XaGXVIN.exe
  C:\Windows\System32\XaGXVIN.exe
  2⤵
  - Executes dropped EXE
  PID:3200
- C:\Windows\System32\CBPTNjk.exe
  C:\Windows\System32\CBPTNjk.exe
  2⤵
  - Executes dropped EXE
  PID:2416
- C:\Windows\System32\KcKxLMr.exe
  C:\Windows\System32\KcKxLMr.exe
  2⤵
  - Executes dropped EXE
  PID:1236
- C:\Windows\System32\BPxfgxq.exe
  C:\Windows\System32\BPxfgxq.exe
  2⤵
  - Executes dropped EXE
  PID:3352
- C:\Windows\System32\yinJlrx.exe
  C:\Windows\System32\yinJlrx.exe
  2⤵
  - Executes dropped EXE
  PID:316
- C:\Windows\System32\gKfPifd.exe
  C:\Windows\System32\gKfPifd.exe
  2⤵
  - Executes dropped EXE
  PID:2868
- C:\Windows\System32\nCRxiOI.exe
  C:\Windows\System32\nCRxiOI.exe
  2⤵
  - Executes dropped EXE
  PID:3712
- C:\Windows\System32\EtcczxC.exe
  C:\Windows\System32\EtcczxC.exe
  2⤵
  - Executes dropped EXE
  PID:3024
- C:\Windows\System32\lHvuOuE.exe
  C:\Windows\System32\lHvuOuE.exe
  2⤵
  - Executes dropped EXE
  PID:2100
- C:\Windows\System32\axNzASB.exe
  C:\Windows\System32\axNzASB.exe
  2⤵
  - Executes dropped EXE
  PID:752
- C:\Windows\System32\BoZULxM.exe
  C:\Windows\System32\BoZULxM.exe
  2⤵
  - Executes dropped EXE
  PID:2772
- C:\Windows\System32\BIZbqsl.exe
  C:\Windows\System32\BIZbqsl.exe
  2⤵
  - Executes dropped EXE
  PID:2104
- C:\Windows\System32\CJjUAZe.exe
  C:\Windows\System32\CJjUAZe.exe
  2⤵
  - Executes dropped EXE
  PID:836
- C:\Windows\System32\giglEnA.exe
  C:\Windows\System32\giglEnA.exe
  2⤵
  - Executes dropped EXE
  PID:3588
- C:\Windows\System32\GudhBTL.exe
  C:\Windows\System32\GudhBTL.exe
  2⤵
  - Executes dropped EXE
  PID:2544
- C:\Windows\System32\vKmWCFd.exe
  C:\Windows\System32\vKmWCFd.exe
  2⤵
  - Executes dropped EXE
  PID:936
- C:\Windows\System32\iGGcKWm.exe
  C:\Windows\System32\iGGcKWm.exe
  2⤵
  - Executes dropped EXE
  PID:3048
- C:\Windows\System32\eYycdRz.exe
  C:\Windows\System32\eYycdRz.exe
  2⤵
  - Executes dropped EXE
  PID:3600
- C:\Windows\System32\NOWZapo.exe
  C:\Windows\System32\NOWZapo.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\VUDTVAV.exe
  C:\Windows\System32\VUDTVAV.exe
  2⤵
  - Executes dropped EXE
  PID:4000
- C:\Windows\System32\isJuLya.exe
  C:\Windows\System32\isJuLya.exe
  2⤵
  - Executes dropped EXE
  PID:4340
- C:\Windows\System32\tLWObTE.exe
  C:\Windows\System32\tLWObTE.exe
  2⤵
  - Executes dropped EXE
  PID:1232
- C:\Windows\System32\jkUlLLR.exe
  C:\Windows\System32\jkUlLLR.exe
  2⤵
  - Executes dropped EXE
  PID:3224
- C:\Windows\System32\kJhDLQs.exe
  C:\Windows\System32\kJhDLQs.exe
  2⤵
  - Executes dropped EXE
  PID:4504
- C:\Windows\System32\QeBXTXD.exe
  C:\Windows\System32\QeBXTXD.exe
  2⤵
  - Executes dropped EXE
  PID:2376
- C:\Windows\System32\LwHauxN.exe
  C:\Windows\System32\LwHauxN.exe
  2⤵
  - Executes dropped EXE
  PID:3700
- C:\Windows\System32\OurNQPZ.exe
  C:\Windows\System32\OurNQPZ.exe
  2⤵
  - Executes dropped EXE
  PID:4700
- C:\Windows\System32\gvYEBwB.exe
  C:\Windows\System32\gvYEBwB.exe
  2⤵
  - Executes dropped EXE
  PID:4880
- C:\Windows\System32\bSkXCDt.exe
  C:\Windows\System32\bSkXCDt.exe
  2⤵
  - Executes dropped EXE
  PID:4312
- C:\Windows\System32\qeqTHsy.exe
  C:\Windows\System32\qeqTHsy.exe
  2⤵
  - Executes dropped EXE
  PID:4276
- C:\Windows\System32\nqpbEjV.exe
  C:\Windows\System32\nqpbEjV.exe
  2⤵
  - Executes dropped EXE
  PID:4844
- C:\Windows\System32\acduyOT.exe
  C:\Windows\System32\acduyOT.exe
  2⤵
  - Executes dropped EXE
  PID:720
- C:\Windows\System32\iflfbxL.exe
  C:\Windows\System32\iflfbxL.exe
  2⤵
  - Executes dropped EXE
  PID:3728
- C:\Windows\System32\tlVjCwf.exe
  C:\Windows\System32\tlVjCwf.exe
  2⤵
  - Executes dropped EXE
  PID:1992
- C:\Windows\System32\cLNGZoD.exe
  C:\Windows\System32\cLNGZoD.exe
  2⤵
  - Executes dropped EXE
  PID:4580
- C:\Windows\System32\yAHrEjm.exe
  C:\Windows\System32\yAHrEjm.exe
  2⤵
  - Executes dropped EXE
  PID:2060
- C:\Windows\System32\RLoQodu.exe
  C:\Windows\System32\RLoQodu.exe
  2⤵
  - Executes dropped EXE
  PID:2960
- C:\Windows\System32\SkWowKZ.exe
  C:\Windows\System32\SkWowKZ.exe
  2⤵
  - Executes dropped EXE
  PID:2836
- C:\Windows\System32\UMBOZyZ.exe
  C:\Windows\System32\UMBOZyZ.exe
  2⤵
  - Executes dropped EXE
  PID:5116
- C:\Windows\System32\hzBVkgw.exe
  C:\Windows\System32\hzBVkgw.exe
  2⤵
  - Executes dropped EXE
  PID:3396
- C:\Windows\System32\CSQbDQw.exe
  C:\Windows\System32\CSQbDQw.exe
  2⤵
  - Executes dropped EXE
  PID:2952
- C:\Windows\System32\KfJgIUd.exe
  C:\Windows\System32\KfJgIUd.exe
  2⤵
  - Executes dropped EXE
  PID:1008
- C:\Windows\System32\PQjZzPE.exe
  C:\Windows\System32\PQjZzPE.exe
  2⤵
  - Executes dropped EXE
  PID:1824
- C:\Windows\System32\scsqlMj.exe
  C:\Windows\System32\scsqlMj.exe
  2⤵
  - Executes dropped EXE
  PID:5020
- C:\Windows\System32\RaQlwZV.exe
  C:\Windows\System32\RaQlwZV.exe
  2⤵
  - Executes dropped EXE
  PID:3620
- C:\Windows\System32\hpDhfLc.exe
  C:\Windows\System32\hpDhfLc.exe
  2⤵
  - Executes dropped EXE
  PID:2024
- C:\Windows\System32\MMKVTec.exe
  C:\Windows\System32\MMKVTec.exe
  2⤵
  - Executes dropped EXE
  PID:2880
- C:\Windows\System32\jFRVBRp.exe
  C:\Windows\System32\jFRVBRp.exe
  2⤵
  - Executes dropped EXE
  PID:3404
- C:\Windows\System32\iiJHngN.exe
  C:\Windows\System32\iiJHngN.exe
  2⤵
  PID:4732
- C:\Windows\System32\FmduZNz.exe
  C:\Windows\System32\FmduZNz.exe
  2⤵
  PID:5000
- C:\Windows\System32\ltVjmLO.exe
  C:\Windows\System32\ltVjmLO.exe
  2⤵
  PID:1696
- C:\Windows\System32\VfIkEew.exe
  C:\Windows\System32\VfIkEew.exe
  2⤵
  PID:4680
- C:\Windows\System32\oDyYggE.exe
  C:\Windows\System32\oDyYggE.exe
  2⤵
  PID:3952
- C:\Windows\System32\bbokosp.exe
  C:\Windows\System32\bbokosp.exe
  2⤵
  PID:4520
- C:\Windows\System32\TNNgFIB.exe
  C:\Windows\System32\TNNgFIB.exe
  2⤵
  PID:716
- C:\Windows\System32\fWkzdsS.exe
  C:\Windows\System32\fWkzdsS.exe
  2⤵
  PID:4616
- C:\Windows\System32\QAcOzLC.exe
  C:\Windows\System32\QAcOzLC.exe
  2⤵
  PID:3744
- C:\Windows\System32\sTuhPUy.exe
  C:\Windows\System32\sTuhPUy.exe
  2⤵
  PID:1040
- C:\Windows\System32\jvGWEor.exe
  C:\Windows\System32\jvGWEor.exe
  2⤵
  PID:4900
- C:\Windows\System32\McuzdYo.exe
  C:\Windows\System32\McuzdYo.exe
  2⤵
  PID:1508
- C:\Windows\System32\ZgWjQfl.exe
  C:\Windows\System32\ZgWjQfl.exe
  2⤵
  PID:1836
- C:\Windows\System32\sChYTQf.exe
  C:\Windows\System32\sChYTQf.exe
  2⤵
  PID:2012
- C:\Windows\System32\fVYffZJ.exe
  C:\Windows\System32\fVYffZJ.exe
  2⤵
  PID:4092
- C:\Windows\System32\HHueVRP.exe
  C:\Windows\System32\HHueVRP.exe
  2⤵
  PID:4332
- C:\Windows\System32\XmkEZJw.exe
  C:\Windows\System32\XmkEZJw.exe
  2⤵
  PID:1064
- C:\Windows\System32\xZLgCoP.exe
  C:\Windows\System32\xZLgCoP.exe
  2⤵
  PID:4936
- C:\Windows\System32\XJvstYM.exe
  C:\Windows\System32\XJvstYM.exe
  2⤵
  PID:2884
- C:\Windows\System32\JcRjUkQ.exe
  C:\Windows\System32\JcRjUkQ.exe
  2⤵
  PID:768
- C:\Windows\System32\GOTbdhf.exe
  C:\Windows\System32\GOTbdhf.exe
  2⤵
  PID:5136
- C:\Windows\System32\ZsghDFM.exe
  C:\Windows\System32\ZsghDFM.exe
  2⤵
  PID:5168
- C:\Windows\System32\urHyMMk.exe
  C:\Windows\System32\urHyMMk.exe
  2⤵
  PID:5192
- C:\Windows\System32\xWOxNIU.exe
  C:\Windows\System32\xWOxNIU.exe
  2⤵
  PID:5220
- C:\Windows\System32\TZDUuCf.exe
  C:\Windows\System32\TZDUuCf.exe
  2⤵
  PID:5244
- C:\Windows\System32\iMBOEvY.exe
  C:\Windows\System32\iMBOEvY.exe
  2⤵
  PID:5276
- C:\Windows\System32\DvHBaZY.exe
  C:\Windows\System32\DvHBaZY.exe
  2⤵
  PID:5308
- C:\Windows\System32\EFOYTOH.exe
  C:\Windows\System32\EFOYTOH.exe
  2⤵
  PID:5328
- C:\Windows\System32\ZbIzeNo.exe
  C:\Windows\System32\ZbIzeNo.exe
  2⤵
  PID:5356
- C:\Windows\System32\FgTjcXS.exe
  C:\Windows\System32\FgTjcXS.exe
  2⤵
  PID:5384
- C:\Windows\System32\aDJzTjy.exe
  C:\Windows\System32\aDJzTjy.exe
  2⤵
  PID:5412
- C:\Windows\System32\AjPRXiv.exe
  C:\Windows\System32\AjPRXiv.exe
  2⤵
  PID:5440
- C:\Windows\System32\CLVjjzt.exe
  C:\Windows\System32\CLVjjzt.exe
  2⤵
  PID:5468
- C:\Windows\System32\OcKeZKL.exe
  C:\Windows\System32\OcKeZKL.exe
  2⤵
  PID:5496
- C:\Windows\System32\stxkeje.exe
  C:\Windows\System32\stxkeje.exe
  2⤵
  PID:5524
- C:\Windows\System32\ubvSgWc.exe
  C:\Windows\System32\ubvSgWc.exe
  2⤵
  PID:5552
- C:\Windows\System32\WCXIivB.exe
  C:\Windows\System32\WCXIivB.exe
  2⤵
  PID:5668
- C:\Windows\System32\BQBFxKH.exe
  C:\Windows\System32\BQBFxKH.exe
  2⤵
  PID:5688
- C:\Windows\System32\edUovVZ.exe
  C:\Windows\System32\edUovVZ.exe
  2⤵
  PID:5712
- C:\Windows\System32\tiqUhER.exe
  C:\Windows\System32\tiqUhER.exe
  2⤵
  PID:5772
- C:\Windows\System32\SkLYKRj.exe
  C:\Windows\System32\SkLYKRj.exe
  2⤵
  PID:5788
- C:\Windows\System32\AkbfKAg.exe
  C:\Windows\System32\AkbfKAg.exe
  2⤵
  PID:5816
- C:\Windows\System32\ObVEwtU.exe
  C:\Windows\System32\ObVEwtU.exe
  2⤵
  PID:5844
- C:\Windows\System32\TVSbJHo.exe
  C:\Windows\System32\TVSbJHo.exe
  2⤵
  PID:5868
- C:\Windows\System32\WUUoskQ.exe
  C:\Windows\System32\WUUoskQ.exe
  2⤵
  PID:5904
- C:\Windows\System32\DwXTCaN.exe
  C:\Windows\System32\DwXTCaN.exe
  2⤵
  PID:5932
- C:\Windows\System32\afaiDHE.exe
  C:\Windows\System32\afaiDHE.exe
  2⤵
  PID:5996
- C:\Windows\System32\vEAGKrz.exe
  C:\Windows\System32\vEAGKrz.exe
  2⤵
  PID:6012
- C:\Windows\System32\KdDtXlw.exe
  C:\Windows\System32\KdDtXlw.exe
  2⤵
  PID:6064
- C:\Windows\System32\BvrhYPg.exe
  C:\Windows\System32\BvrhYPg.exe
  2⤵
  PID:6080
- C:\Windows\System32\xivScHS.exe
  C:\Windows\System32\xivScHS.exe
  2⤵
  PID:6096
- C:\Windows\System32\WaAPopV.exe
  C:\Windows\System32\WaAPopV.exe
  2⤵
  PID:6136
- C:\Windows\System32\LySQMsl.exe
  C:\Windows\System32\LySQMsl.exe
  2⤵
  PID:4420
- C:\Windows\System32\TvzGxLV.exe
  C:\Windows\System32\TvzGxLV.exe
  2⤵
  PID:548
- C:\Windows\System32\JgVhFQs.exe
  C:\Windows\System32\JgVhFQs.exe
  2⤵
  PID:4304
- C:\Windows\System32\OyDuzOo.exe
  C:\Windows\System32\OyDuzOo.exe
  2⤵
  PID:4972
- C:\Windows\System32\uPmnzZO.exe
  C:\Windows\System32\uPmnzZO.exe
  2⤵
  PID:5164
- C:\Windows\System32\kqsNzeB.exe
  C:\Windows\System32\kqsNzeB.exe
  2⤵
  PID:5212
- C:\Windows\System32\nMBceFI.exe
  C:\Windows\System32\nMBceFI.exe
  2⤵
  PID:5236
- C:\Windows\System32\tYuJNOx.exe
  C:\Windows\System32\tYuJNOx.exe
  2⤵
  PID:5268
- C:\Windows\System32\RHiiwkA.exe
  C:\Windows\System32\RHiiwkA.exe
  2⤵
  PID:5344
- C:\Windows\System32\AKwayoM.exe
  C:\Windows\System32\AKwayoM.exe
  2⤵
  PID:4112
- C:\Windows\System32\sTirZBw.exe
  C:\Windows\System32\sTirZBw.exe
  2⤵
  PID:1452
- C:\Windows\System32\CeEnqwE.exe
  C:\Windows\System32\CeEnqwE.exe
  2⤵
  PID:1184
- C:\Windows\System32\BAPtioW.exe
  C:\Windows\System32\BAPtioW.exe
  2⤵
  PID:5508
- C:\Windows\System32\aYuVnxm.exe
  C:\Windows\System32\aYuVnxm.exe
  2⤵
  PID:5580
- C:\Windows\System32\iTFLvxR.exe
  C:\Windows\System32\iTFLvxR.exe
  2⤵
  PID:900
- C:\Windows\System32\SLDOPip.exe
  C:\Windows\System32\SLDOPip.exe
  2⤵
  PID:1604
- C:\Windows\System32\yKfxrXM.exe
  C:\Windows\System32\yKfxrXM.exe
  2⤵
  PID:5664
- C:\Windows\System32\mqfbvdN.exe
  C:\Windows\System32\mqfbvdN.exe
  2⤵
  PID:5732
- C:\Windows\System32\UKbZLnV.exe
  C:\Windows\System32\UKbZLnV.exe
  2⤵
  PID:5828
- C:\Windows\System32\Jxnqknp.exe
  C:\Windows\System32\Jxnqknp.exe
  2⤵
  PID:5860
- C:\Windows\System32\bxJIwpp.exe
  C:\Windows\System32\bxJIwpp.exe
  2⤵
  PID:5896
- C:\Windows\System32\ozxkbEl.exe
  C:\Windows\System32\ozxkbEl.exe
  2⤵
  PID:5640
- C:\Windows\System32\msULMrK.exe
  C:\Windows\System32\msULMrK.exe
  2⤵
  PID:5656
- C:\Windows\System32\UNzALHr.exe
  C:\Windows\System32\UNzALHr.exe
  2⤵
  PID:6076
- C:\Windows\System32\SRfYsOL.exe
  C:\Windows\System32\SRfYsOL.exe
  2⤵
  PID:6124
- C:\Windows\System32\jocOIuQ.exe
  C:\Windows\System32\jocOIuQ.exe
  2⤵
  PID:3988
- C:\Windows\System32\WzBiDsp.exe
  C:\Windows\System32\WzBiDsp.exe
  2⤵
  PID:1900
- C:\Windows\System32\OIUlBkb.exe
  C:\Windows\System32\OIUlBkb.exe
  2⤵
  PID:5156
- C:\Windows\System32\PSOVGLG.exe
  C:\Windows\System32\PSOVGLG.exe
  2⤵
  PID:5304
- C:\Windows\System32\FJVvdOm.exe
  C:\Windows\System32\FJVvdOm.exe
  2⤵
  PID:5428
- C:\Windows\System32\cHeNqmW.exe
  C:\Windows\System32\cHeNqmW.exe
  2⤵
  PID:3796
- C:\Windows\System32\VjySwcI.exe
  C:\Windows\System32\VjySwcI.exe
  2⤵
  PID:3500
- C:\Windows\System32\LBQWQeG.exe
  C:\Windows\System32\LBQWQeG.exe
  2⤵
  PID:5704
- C:\Windows\System32\KdmTpFl.exe
  C:\Windows\System32\KdmTpFl.exe
  2⤵
  PID:5812
- C:\Windows\System32\cuxfuuO.exe
  C:\Windows\System32\cuxfuuO.exe
  2⤵
  PID:5632
- C:\Windows\System32\GnFfWqT.exe
  C:\Windows\System32\GnFfWqT.exe
  2⤵
  PID:3596
- C:\Windows\System32\PhfzcAA.exe
  C:\Windows\System32\PhfzcAA.exe
  2⤵
  PID:5240
- C:\Windows\System32\nTHGnjM.exe
  C:\Windows\System32\nTHGnjM.exe
  2⤵
  PID:5680
- C:\Windows\System32\fHrnlcf.exe
  C:\Windows\System32\fHrnlcf.exe
  2⤵
  PID:5864
- C:\Windows\System32\SxmNKQk.exe
  C:\Windows\System32\SxmNKQk.exe
  2⤵
  PID:5648
- C:\Windows\System32\ZevYcrW.exe
  C:\Windows\System32\ZevYcrW.exe
  2⤵
  PID:5148
- C:\Windows\System32\aUhNqoC.exe
  C:\Windows\System32\aUhNqoC.exe
  2⤵
  PID:1912
- C:\Windows\System32\NbFVOUH.exe
  C:\Windows\System32\NbFVOUH.exe
  2⤵
  PID:1592
- C:\Windows\System32\FNZeIKm.exe
  C:\Windows\System32\FNZeIKm.exe
  2⤵
  PID:6168
- C:\Windows\System32\gaANquG.exe
  C:\Windows\System32\gaANquG.exe
  2⤵
  PID:6200
- C:\Windows\System32\YBnyhGA.exe
  C:\Windows\System32\YBnyhGA.exe
  2⤵
  PID:6220
- C:\Windows\System32\pZWAdwQ.exe
  C:\Windows\System32\pZWAdwQ.exe
  2⤵
  PID:6244
- C:\Windows\System32\uEaoQoe.exe
  C:\Windows\System32\uEaoQoe.exe
  2⤵
  PID:6272
- C:\Windows\System32\olXLsIR.exe
  C:\Windows\System32\olXLsIR.exe
  2⤵
  PID:6320
- C:\Windows\System32\chTYESM.exe
  C:\Windows\System32\chTYESM.exe
  2⤵
  PID:6336
- C:\Windows\System32\YSkicZA.exe
  C:\Windows\System32\YSkicZA.exe
  2⤵
  PID:6364
- C:\Windows\System32\wPWkGeZ.exe
  C:\Windows\System32\wPWkGeZ.exe
  2⤵
  PID:6396
- C:\Windows\System32\WhxImnF.exe
  C:\Windows\System32\WhxImnF.exe
  2⤵
  PID:6424
- C:\Windows\System32\gYtZqGW.exe
  C:\Windows\System32\gYtZqGW.exe
  2⤵
  PID:6440
- C:\Windows\System32\UcSYctf.exe
  C:\Windows\System32\UcSYctf.exe
  2⤵
  PID:6476
- C:\Windows\System32\VVshKHx.exe
  C:\Windows\System32\VVshKHx.exe
  2⤵
  PID:6500
- C:\Windows\System32\MPXXZqs.exe
  C:\Windows\System32\MPXXZqs.exe
  2⤵
  PID:6520
- C:\Windows\System32\DtfvSIh.exe
  C:\Windows\System32\DtfvSIh.exe
  2⤵
  PID:6548
- C:\Windows\System32\UngZgAR.exe
  C:\Windows\System32\UngZgAR.exe
  2⤵
  PID:6572
- C:\Windows\System32\ctajtnT.exe
  C:\Windows\System32\ctajtnT.exe
  2⤵
  PID:6604
- C:\Windows\System32\xyliNRT.exe
  C:\Windows\System32\xyliNRT.exe
  2⤵
  PID:6648
- C:\Windows\System32\SiCdhBF.exe
  C:\Windows\System32\SiCdhBF.exe
  2⤵
  PID:6672
- C:\Windows\System32\cfrEnZm.exe
  C:\Windows\System32\cfrEnZm.exe
  2⤵
  PID:6692
- C:\Windows\System32\dXEOtbm.exe
  C:\Windows\System32\dXEOtbm.exe
  2⤵
  PID:6712
- C:\Windows\System32\KSDSzuv.exe
  C:\Windows\System32\KSDSzuv.exe
  2⤵
  PID:6736
- C:\Windows\System32\umkTEpc.exe
  C:\Windows\System32\umkTEpc.exe
  2⤵
  PID:6780
- C:\Windows\System32\RTZffad.exe
  C:\Windows\System32\RTZffad.exe
  2⤵
  PID:6808
- C:\Windows\System32\oJcxqnR.exe
  C:\Windows\System32\oJcxqnR.exe
  2⤵
  PID:6848
- C:\Windows\System32\YvUnnyK.exe
  C:\Windows\System32\YvUnnyK.exe
  2⤵
  PID:6880
- C:\Windows\System32\DhRQOcN.exe
  C:\Windows\System32\DhRQOcN.exe
  2⤵
  PID:6900
- C:\Windows\System32\RgAhNJj.exe
  C:\Windows\System32\RgAhNJj.exe
  2⤵
  PID:6916
- C:\Windows\System32\wLlnSYp.exe
  C:\Windows\System32\wLlnSYp.exe
  2⤵
  PID:6940
- C:\Windows\System32\hxiDzBc.exe
  C:\Windows\System32\hxiDzBc.exe
  2⤵
  PID:6996
- C:\Windows\System32\mOkNGFA.exe
  C:\Windows\System32\mOkNGFA.exe
  2⤵
  PID:7016
- C:\Windows\System32\zZGBJAD.exe
  C:\Windows\System32\zZGBJAD.exe
  2⤵
  PID:7040
- C:\Windows\System32\mUerypH.exe
  C:\Windows\System32\mUerypH.exe
  2⤵
  PID:7064
- C:\Windows\System32\PEKqtlk.exe
  C:\Windows\System32\PEKqtlk.exe
  2⤵
  PID:7088
- C:\Windows\System32\grxiTAB.exe
  C:\Windows\System32\grxiTAB.exe
  2⤵
  PID:7108
- C:\Windows\System32\vJHQstN.exe
  C:\Windows\System32\vJHQstN.exe
  2⤵
  PID:7136
- C:\Windows\System32\KmrZPzT.exe
  C:\Windows\System32\KmrZPzT.exe
  2⤵
  PID:7160
- C:\Windows\System32\WRSboZc.exe
  C:\Windows\System32\WRSboZc.exe
  2⤵
  PID:5832
- C:\Windows\System32\JQtKvff.exe
  C:\Windows\System32\JQtKvff.exe
  2⤵
  PID:6184
- C:\Windows\System32\rZlJLLm.exe
  C:\Windows\System32\rZlJLLm.exe
  2⤵
  PID:6332
- C:\Windows\System32\sBHKjtv.exe
  C:\Windows\System32\sBHKjtv.exe
  2⤵
  PID:6436
- C:\Windows\System32\KldCHgS.exe
  C:\Windows\System32\KldCHgS.exe
  2⤵
  PID:6496
- C:\Windows\System32\igTKXLI.exe
  C:\Windows\System32\igTKXLI.exe
  2⤵
  PID:6540
- C:\Windows\System32\HVYaHlV.exe
  C:\Windows\System32\HVYaHlV.exe
  2⤵
  PID:6600
- C:\Windows\System32\YRvgeKr.exe
  C:\Windows\System32\YRvgeKr.exe
  2⤵
  PID:6640
- C:\Windows\System32\fbvfXgt.exe
  C:\Windows\System32\fbvfXgt.exe
  2⤵
  PID:6724
- C:\Windows\System32\pwKAmsc.exe
  C:\Windows\System32\pwKAmsc.exe
  2⤵
  PID:6760
- C:\Windows\System32\wVSoAoL.exe
  C:\Windows\System32\wVSoAoL.exe
  2⤵
  PID:6840
- C:\Windows\System32\KBtRjhH.exe
  C:\Windows\System32\KBtRjhH.exe
  2⤵
  PID:6876
- C:\Windows\System32\KEYqxWq.exe
  C:\Windows\System32\KEYqxWq.exe
  2⤵
  PID:6892
- C:\Windows\System32\fKxfwYp.exe
  C:\Windows\System32\fKxfwYp.exe
  2⤵
  PID:7024
- C:\Windows\System32\TtjQrfT.exe
  C:\Windows\System32\TtjQrfT.exe
  2⤵
  PID:7124
- C:\Windows\System32\DWHuSta.exe
  C:\Windows\System32\DWHuSta.exe
  2⤵
  PID:6152
- C:\Windows\System32\xaDCjdB.exe
  C:\Windows\System32\xaDCjdB.exe
  2⤵
  PID:6380
- C:\Windows\System32\dBXcUdd.exe
  C:\Windows\System32\dBXcUdd.exe
  2⤵
  PID:6456
- C:\Windows\System32\eFvDmxi.exe
  C:\Windows\System32\eFvDmxi.exe
  2⤵
  PID:6616
- C:\Windows\System32\VFDSrqm.exe
  C:\Windows\System32\VFDSrqm.exe
  2⤵
  PID:6700
- C:\Windows\System32\PQfgHZM.exe
  C:\Windows\System32\PQfgHZM.exe
  2⤵
  PID:6912
- C:\Windows\System32\JbjEplc.exe
  C:\Windows\System32\JbjEplc.exe
  2⤵
  PID:7048
- C:\Windows\System32\PgiyWFr.exe
  C:\Windows\System32\PgiyWFr.exe
  2⤵
  PID:7060
- C:\Windows\System32\vPzZhbn.exe
  C:\Windows\System32\vPzZhbn.exe
  2⤵
  PID:6352
- C:\Windows\System32\SGAjMMY.exe
  C:\Windows\System32\SGAjMMY.exe
  2⤵
  PID:6924
- C:\Windows\System32\hXUboSA.exe
  C:\Windows\System32\hXUboSA.exe
  2⤵
  PID:7116
- C:\Windows\System32\UuJDGmD.exe
  C:\Windows\System32\UuJDGmD.exe
  2⤵
  PID:6536
- C:\Windows\System32\PnixjxB.exe
  C:\Windows\System32\PnixjxB.exe
  2⤵
  PID:7180
- C:\Windows\System32\SYLemxe.exe
  C:\Windows\System32\SYLemxe.exe
  2⤵
  PID:7204
- C:\Windows\System32\nWLUHIx.exe
  C:\Windows\System32\nWLUHIx.exe
  2⤵
  PID:7224
- C:\Windows\System32\bqsiAkt.exe
  C:\Windows\System32\bqsiAkt.exe
  2⤵
  PID:7240
- C:\Windows\System32\lAyPBnx.exe
  C:\Windows\System32\lAyPBnx.exe
  2⤵
  PID:7268
- C:\Windows\System32\StEspzN.exe
  C:\Windows\System32\StEspzN.exe
  2⤵
  PID:7288
- C:\Windows\System32\iMtuxWn.exe
  C:\Windows\System32\iMtuxWn.exe
  2⤵
  PID:7356
- C:\Windows\System32\BUwAntQ.exe
  C:\Windows\System32\BUwAntQ.exe
  2⤵
  PID:7372
- C:\Windows\System32\MlXpjHS.exe
  C:\Windows\System32\MlXpjHS.exe
  2⤵
  PID:7412
- C:\Windows\System32\eQzArWZ.exe
  C:\Windows\System32\eQzArWZ.exe
  2⤵
  PID:7440
- C:\Windows\System32\UhaZZqx.exe
  C:\Windows\System32\UhaZZqx.exe
  2⤵
  PID:7468
- C:\Windows\System32\vCRWmxC.exe
  C:\Windows\System32\vCRWmxC.exe
  2⤵
  PID:7496
- C:\Windows\System32\pwzbsTt.exe
  C:\Windows\System32\pwzbsTt.exe
  2⤵
  PID:7520
- C:\Windows\System32\ivwzZoc.exe
  C:\Windows\System32\ivwzZoc.exe
  2⤵
  PID:7544
- C:\Windows\System32\LhsHKjE.exe
  C:\Windows\System32\LhsHKjE.exe
  2⤵
  PID:7564
- C:\Windows\System32\xpFnBqc.exe
  C:\Windows\System32\xpFnBqc.exe
  2⤵
  PID:7588
- C:\Windows\System32\fuxGzqL.exe
  C:\Windows\System32\fuxGzqL.exe
  2⤵
  PID:7628
- C:\Windows\System32\ERnmkXo.exe
  C:\Windows\System32\ERnmkXo.exe
  2⤵
  PID:7676
- C:\Windows\System32\UJzaRGe.exe
  C:\Windows\System32\UJzaRGe.exe
  2⤵
  PID:7696
- C:\Windows\System32\nXiYtVG.exe
  C:\Windows\System32\nXiYtVG.exe
  2⤵
  PID:7716
- C:\Windows\System32\TvRZHeN.exe
  C:\Windows\System32\TvRZHeN.exe
  2⤵
  PID:7740
- C:\Windows\System32\PrZmVGO.exe
  C:\Windows\System32\PrZmVGO.exe
  2⤵
  PID:7784
- C:\Windows\System32\BCCRsfN.exe
  C:\Windows\System32\BCCRsfN.exe
  2⤵
  PID:7808
- C:\Windows\System32\AAxRdtI.exe
  C:\Windows\System32\AAxRdtI.exe
  2⤵
  PID:7836
- C:\Windows\System32\XOTawnu.exe
  C:\Windows\System32\XOTawnu.exe
  2⤵
  PID:7872
- C:\Windows\System32\VBnTUEl.exe
  C:\Windows\System32\VBnTUEl.exe
  2⤵
  PID:7888
- C:\Windows\System32\wZopcAh.exe
  C:\Windows\System32\wZopcAh.exe
  2⤵
  PID:7908
- C:\Windows\System32\NlFfKEr.exe
  C:\Windows\System32\NlFfKEr.exe
  2⤵
  PID:7928
- C:\Windows\System32\XFvtgXb.exe
  C:\Windows\System32\XFvtgXb.exe
  2⤵
  PID:7960
- C:\Windows\System32\yTpfhiM.exe
  C:\Windows\System32\yTpfhiM.exe
  2⤵
  PID:8004
- C:\Windows\System32\rsJxbnZ.exe
  C:\Windows\System32\rsJxbnZ.exe
  2⤵
  PID:8028
- C:\Windows\System32\JhTiOIw.exe
  C:\Windows\System32\JhTiOIw.exe
  2⤵
  PID:8052
- C:\Windows\System32\vyGcNue.exe
  C:\Windows\System32\vyGcNue.exe
  2⤵
  PID:8068
- C:\Windows\System32\ggpkVGA.exe
  C:\Windows\System32\ggpkVGA.exe
  2⤵
  PID:8108
- C:\Windows\System32\zLGQTdc.exe
  C:\Windows\System32\zLGQTdc.exe
  2⤵
  PID:8124
- C:\Windows\System32\CQzfQUR.exe
  C:\Windows\System32\CQzfQUR.exe
  2⤵
  PID:8156
- C:\Windows\System32\IfrjJck.exe
  C:\Windows\System32\IfrjJck.exe
  2⤵
  PID:7192
- C:\Windows\System32\vRfzBNQ.exe
  C:\Windows\System32\vRfzBNQ.exe
  2⤵
  PID:7284
- C:\Windows\System32\yUnoMag.exe
  C:\Windows\System32\yUnoMag.exe
  2⤵
  PID:7308
- C:\Windows\System32\GXjVwXW.exe
  C:\Windows\System32\GXjVwXW.exe
  2⤵
  PID:7368
- C:\Windows\System32\MxqMFpm.exe
  C:\Windows\System32\MxqMFpm.exe
  2⤵
  PID:7480
- C:\Windows\System32\fcNMrfB.exe
  C:\Windows\System32\fcNMrfB.exe
  2⤵
  PID:7540
- C:\Windows\System32\BFqtWIb.exe
  C:\Windows\System32\BFqtWIb.exe
  2⤵
  PID:7560
- C:\Windows\System32\Anmftlw.exe
  C:\Windows\System32\Anmftlw.exe
  2⤵
  PID:7624
- C:\Windows\System32\uLUDmLm.exe
  C:\Windows\System32\uLUDmLm.exe
  2⤵
  PID:7688
- C:\Windows\System32\OBpsZdX.exe
  C:\Windows\System32\OBpsZdX.exe
  2⤵
  PID:7748
- C:\Windows\System32\CPtVKMZ.exe
  C:\Windows\System32\CPtVKMZ.exe
  2⤵
  PID:7800
- C:\Windows\System32\Bgweusz.exe
  C:\Windows\System32\Bgweusz.exe
  2⤵
  PID:8060
- C:\Windows\System32\TaDHhpv.exe
  C:\Windows\System32\TaDHhpv.exe
  2⤵
  PID:8132
- C:\Windows\System32\TdGikOo.exe
  C:\Windows\System32\TdGikOo.exe
  2⤵
  PID:8116
- C:\Windows\System32\lIwROME.exe
  C:\Windows\System32\lIwROME.exe
  2⤵
  PID:8180
- C:\Windows\System32\PsHMLGF.exe
  C:\Windows\System32\PsHMLGF.exe
  2⤵
  PID:7276
- C:\Windows\System32\dCvVdSe.exe
  C:\Windows\System32\dCvVdSe.exe
  2⤵
  PID:7280
- C:\Windows\System32\QnUdcnI.exe
  C:\Windows\System32\QnUdcnI.exe
  2⤵
  PID:7424
- C:\Windows\System32\DftxcVH.exe
  C:\Windows\System32\DftxcVH.exe
  2⤵
  PID:7528
- C:\Windows\System32\ORdDfIQ.exe
  C:\Windows\System32\ORdDfIQ.exe
  2⤵
  PID:6720
- C:\Windows\System32\YLHkqpx.exe
  C:\Windows\System32\YLHkqpx.exe
  2⤵
  PID:7672
- C:\Windows\System32\GhbKvol.exe
  C:\Windows\System32\GhbKvol.exe
  2⤵
  PID:7792
- C:\Windows\System32\cspnjrY.exe
  C:\Windows\System32\cspnjrY.exe
  2⤵
  PID:7864
- C:\Windows\System32\dpicjJX.exe
  C:\Windows\System32\dpicjJX.exe
  2⤵
  PID:8200
- C:\Windows\System32\rgjYGuw.exe
  C:\Windows\System32\rgjYGuw.exe
  2⤵
  PID:8216
- C:\Windows\System32\QHIHAvO.exe
  C:\Windows\System32\QHIHAvO.exe
  2⤵
  PID:8232
- C:\Windows\System32\IJDMsZd.exe
  C:\Windows\System32\IJDMsZd.exe
  2⤵
  PID:8248
- C:\Windows\System32\ykqoocV.exe
  C:\Windows\System32\ykqoocV.exe
  2⤵
  PID:8268
- C:\Windows\System32\LOFZSjA.exe
  C:\Windows\System32\LOFZSjA.exe
  2⤵
  PID:8304
- C:\Windows\System32\eQWjfBL.exe
  C:\Windows\System32\eQWjfBL.exe
  2⤵
  PID:8352
- C:\Windows\System32\WANnlVz.exe
  C:\Windows\System32\WANnlVz.exe
  2⤵
  PID:8432
- C:\Windows\System32\SrteBWb.exe
  C:\Windows\System32\SrteBWb.exe
  2⤵
  PID:8544
- C:\Windows\System32\TjGQrqv.exe
  C:\Windows\System32\TjGQrqv.exe
  2⤵
  PID:8572
- C:\Windows\System32\dFozNoY.exe
  C:\Windows\System32\dFozNoY.exe
  2⤵
  PID:8640
- C:\Windows\System32\fxgYaLB.exe
  C:\Windows\System32\fxgYaLB.exe
  2⤵
  PID:8664
- C:\Windows\System32\yeoGOpn.exe
  C:\Windows\System32\yeoGOpn.exe
  2⤵
  PID:8692
- C:\Windows\System32\ZwDACjv.exe
  C:\Windows\System32\ZwDACjv.exe
  2⤵
  PID:8724
- C:\Windows\System32\FeWHSye.exe
  C:\Windows\System32\FeWHSye.exe
  2⤵
  PID:8760
- C:\Windows\System32\lzgrkZI.exe
  C:\Windows\System32\lzgrkZI.exe
  2⤵
  PID:8784
- C:\Windows\System32\bFqeUKZ.exe
  C:\Windows\System32\bFqeUKZ.exe
  2⤵
  PID:8808
- C:\Windows\System32\lOFhGvm.exe
  C:\Windows\System32\lOFhGvm.exe
  2⤵
  PID:8836
- C:\Windows\System32\FMbUdcs.exe
  C:\Windows\System32\FMbUdcs.exe
  2⤵
  PID:8880
- C:\Windows\System32\RrxmwTd.exe
  C:\Windows\System32\RrxmwTd.exe
  2⤵
  PID:8904
- C:\Windows\System32\SmvxYtF.exe
  C:\Windows\System32\SmvxYtF.exe
  2⤵
  PID:8924
- C:\Windows\System32\zwzrJrL.exe
  C:\Windows\System32\zwzrJrL.exe
  2⤵
  PID:8960
- C:\Windows\System32\drJqFYX.exe
  C:\Windows\System32\drJqFYX.exe
  2⤵
  PID:8992
- C:\Windows\System32\LNvRleL.exe
  C:\Windows\System32\LNvRleL.exe
  2⤵
  PID:9016
- C:\Windows\System32\flWFnou.exe
  C:\Windows\System32\flWFnou.exe
  2⤵
  PID:9040
- C:\Windows\System32\YNGIbhW.exe
  C:\Windows\System32\YNGIbhW.exe
  2⤵
  PID:9084
- C:\Windows\System32\NVFDiON.exe
  C:\Windows\System32\NVFDiON.exe
  2⤵
  PID:9108
- C:\Windows\System32\PybtNqX.exe
  C:\Windows\System32\PybtNqX.exe
  2⤵
  PID:9132
- C:\Windows\System32\qcRXpRV.exe
  C:\Windows\System32\qcRXpRV.exe
  2⤵
  PID:9160
- C:\Windows\System32\ciYEBZD.exe
  C:\Windows\System32\ciYEBZD.exe
  2⤵
  PID:9192
- C:\Windows\System32\apZyfzx.exe
  C:\Windows\System32\apZyfzx.exe
  2⤵
  PID:8020
- C:\Windows\System32\tydXlKV.exe
  C:\Windows\System32\tydXlKV.exe
  2⤵
  PID:8048
- C:\Windows\System32\lnZnapT.exe
  C:\Windows\System32\lnZnapT.exe
  2⤵
  PID:7936
- C:\Windows\System32\YBmqbPn.exe
  C:\Windows\System32\YBmqbPn.exe
  2⤵
  PID:7988
- C:\Windows\System32\NVBQGUR.exe
  C:\Windows\System32\NVBQGUR.exe
  2⤵
  PID:8296
- C:\Windows\System32\vlaMiKg.exe
  C:\Windows\System32\vlaMiKg.exe
  2⤵
  PID:7336
- C:\Windows\System32\ezTDEJu.exe
  C:\Windows\System32\ezTDEJu.exe
  2⤵
  PID:8212
- C:\Windows\System32\BaAQToB.exe
  C:\Windows\System32\BaAQToB.exe
  2⤵
  PID:8276
- C:\Windows\System32\AdwxHQX.exe
  C:\Windows\System32\AdwxHQX.exe
  2⤵
  PID:7880
- C:\Windows\System32\MHNMzZo.exe
  C:\Windows\System32\MHNMzZo.exe
  2⤵
  PID:8284
- C:\Windows\System32\ZPNTndI.exe
  C:\Windows\System32\ZPNTndI.exe
  2⤵
  PID:8480
- C:\Windows\System32\aPTEXpC.exe
  C:\Windows\System32\aPTEXpC.exe
  2⤵
  PID:8508
- C:\Windows\System32\hRGlBsX.exe
  C:\Windows\System32\hRGlBsX.exe
  2⤵
  PID:8088
- C:\Windows\System32\nvqqKBW.exe
  C:\Windows\System32\nvqqKBW.exe
  2⤵
  PID:8560
- C:\Windows\System32\koOMRQE.exe
  C:\Windows\System32\koOMRQE.exe
  2⤵
  PID:8720
- C:\Windows\System32\ueSYKcV.exe
  C:\Windows\System32\ueSYKcV.exe
  2⤵
  PID:8740
- C:\Windows\System32\vOBVYnK.exe
  C:\Windows\System32\vOBVYnK.exe
  2⤵
  PID:8828
- C:\Windows\System32\ZngNTIO.exe
  C:\Windows\System32\ZngNTIO.exe
  2⤵
  PID:8912
- C:\Windows\System32\PKeWCIP.exe
  C:\Windows\System32\PKeWCIP.exe
  2⤵
  PID:9004
- C:\Windows\System32\QwALMQu.exe
  C:\Windows\System32\QwALMQu.exe
  2⤵
  PID:9068
- C:\Windows\System32\OwdPmlV.exe
  C:\Windows\System32\OwdPmlV.exe
  2⤵
  PID:9104
- C:\Windows\System32\NkAOKEx.exe
  C:\Windows\System32\NkAOKEx.exe
  2⤵
  PID:9168
- C:\Windows\System32\ZXdcaxm.exe
  C:\Windows\System32\ZXdcaxm.exe
  2⤵
  PID:7856
- C:\Windows\System32\KJwqCzP.exe
  C:\Windows\System32\KJwqCzP.exe
  2⤵
  PID:8300
- C:\Windows\System32\YsUWlSk.exe
  C:\Windows\System32\YsUWlSk.exe
  2⤵
  PID:8224
- C:\Windows\System32\JOlhfbs.exe
  C:\Windows\System32\JOlhfbs.exe
  2⤵
  PID:8288
- C:\Windows\System32\gMYahlb.exe
  C:\Windows\System32\gMYahlb.exe
  2⤵
  PID:7452
- C:\Windows\System32\pSgvtsw.exe
  C:\Windows\System32\pSgvtsw.exe
  2⤵
  PID:8628
- C:\Windows\System32\lcgJJbm.exe
  C:\Windows\System32\lcgJJbm.exe
  2⤵
  PID:8752
- C:\Windows\System32\RzWCWan.exe
  C:\Windows\System32\RzWCWan.exe
  2⤵
  PID:8896
- C:\Windows\System32\mJAipog.exe
  C:\Windows\System32\mJAipog.exe
  2⤵
  PID:9188
- C:\Windows\System32\NPKLNfg.exe
  C:\Windows\System32\NPKLNfg.exe
  2⤵
  PID:9140
- C:\Windows\System32\VpAvQjx.exe
  C:\Windows\System32\VpAvQjx.exe
  2⤵
  PID:7656
- C:\Windows\System32\kJRsLuk.exe
  C:\Windows\System32\kJRsLuk.exe
  2⤵
  PID:8944
- C:\Windows\System32\AjtKzIM.exe
  C:\Windows\System32\AjtKzIM.exe
  2⤵
  PID:8328
- C:\Windows\System32\SIwnAWf.exe
  C:\Windows\System32\SIwnAWf.exe
  2⤵
  PID:8748
- C:\Windows\System32\bgdRLhE.exe
  C:\Windows\System32\bgdRLhE.exe
  2⤵
  PID:9224
- C:\Windows\System32\SNKRtoD.exe
  C:\Windows\System32\SNKRtoD.exe
  2⤵
  PID:9244
- C:\Windows\System32\LbncyDV.exe
  C:\Windows\System32\LbncyDV.exe
  2⤵
  PID:9260
- C:\Windows\System32\glrDcjk.exe
  C:\Windows\System32\glrDcjk.exe
  2⤵
  PID:9280
- C:\Windows\System32\yzpMFdz.exe
  C:\Windows\System32\yzpMFdz.exe
  2⤵
  PID:9316
- C:\Windows\System32\LGCoNog.exe
  C:\Windows\System32\LGCoNog.exe
  2⤵
  PID:9348
- C:\Windows\System32\bFUjyPp.exe
  C:\Windows\System32\bFUjyPp.exe
  2⤵
  PID:9368
- C:\Windows\System32\JwCWyOW.exe
  C:\Windows\System32\JwCWyOW.exe
  2⤵
  PID:9392
- C:\Windows\System32\OKyAxIM.exe
  C:\Windows\System32\OKyAxIM.exe
  2⤵
  PID:9412
- C:\Windows\System32\LyuOlAA.exe
  C:\Windows\System32\LyuOlAA.exe
  2⤵
  PID:9432
- C:\Windows\System32\BqoHaWc.exe
  C:\Windows\System32\BqoHaWc.exe
  2⤵
  PID:9468
- C:\Windows\System32\nXgEENQ.exe
  C:\Windows\System32\nXgEENQ.exe
  2⤵
  PID:9488
- C:\Windows\System32\rHUyFGz.exe
  C:\Windows\System32\rHUyFGz.exe
  2⤵
  PID:9540
- C:\Windows\System32\fVRrpST.exe
  C:\Windows\System32\fVRrpST.exe
  2⤵
  PID:9584
- C:\Windows\System32\IElXkHQ.exe
  C:\Windows\System32\IElXkHQ.exe
  2⤵
  PID:9608
- C:\Windows\System32\wKMyjse.exe
  C:\Windows\System32\wKMyjse.exe
  2⤵
  PID:9628
- C:\Windows\System32\utIAvDV.exe
  C:\Windows\System32\utIAvDV.exe
  2⤵
  PID:9648
- C:\Windows\System32\fcedfLY.exe
  C:\Windows\System32\fcedfLY.exe
  2⤵
  PID:9692
- C:\Windows\System32\lqwbIUR.exe
  C:\Windows\System32\lqwbIUR.exe
  2⤵
  PID:9708
- C:\Windows\System32\knSVyaw.exe
  C:\Windows\System32\knSVyaw.exe
  2⤵
  PID:9736
- C:\Windows\System32\WgDyuLg.exe
  C:\Windows\System32\WgDyuLg.exe
  2⤵
  PID:9780
- C:\Windows\System32\HqpxrUR.exe
  C:\Windows\System32\HqpxrUR.exe
  2⤵
  PID:9808
- C:\Windows\System32\RblUnBm.exe
  C:\Windows\System32\RblUnBm.exe
  2⤵
  PID:9832
- C:\Windows\System32\cSLWPBZ.exe
  C:\Windows\System32\cSLWPBZ.exe
  2⤵
  PID:9848
- C:\Windows\System32\YOEWajI.exe
  C:\Windows\System32\YOEWajI.exe
  2⤵
  PID:9868
- C:\Windows\System32\dDVaPqI.exe
  C:\Windows\System32\dDVaPqI.exe
  2⤵
  PID:9928
- C:\Windows\System32\jLFEpCh.exe
  C:\Windows\System32\jLFEpCh.exe
  2⤵
  PID:9948
- C:\Windows\System32\BUYUVWY.exe
  C:\Windows\System32\BUYUVWY.exe
  2⤵
  PID:9964
- C:\Windows\System32\CtvRDeY.exe
  C:\Windows\System32\CtvRDeY.exe
  2⤵
  PID:9992
- C:\Windows\System32\YHwXdfV.exe
  C:\Windows\System32\YHwXdfV.exe
  2⤵
  PID:10012
- C:\Windows\System32\CpKRuuw.exe
  C:\Windows\System32\CpKRuuw.exe
  2⤵
  PID:10060
- C:\Windows\System32\pMZbwUZ.exe
  C:\Windows\System32\pMZbwUZ.exe
  2⤵
  PID:10076
- C:\Windows\System32\tJAvqCt.exe
  C:\Windows\System32\tJAvqCt.exe
  2⤵
  PID:10104
- C:\Windows\System32\nNCzNhd.exe
  C:\Windows\System32\nNCzNhd.exe
  2⤵
  PID:10132
- C:\Windows\System32\jQcDvan.exe
  C:\Windows\System32\jQcDvan.exe
  2⤵
  PID:10152
- C:\Windows\System32\gBVoVCw.exe
  C:\Windows\System32\gBVoVCw.exe
  2⤵
  PID:10168
- C:\Windows\System32\QeEdBff.exe
  C:\Windows\System32\QeEdBff.exe
  2⤵
  PID:10196
- C:\Windows\System32\xbyiFoz.exe
  C:\Windows\System32\xbyiFoz.exe
  2⤵
  PID:10220
- C:\Windows\System32\mzBNliU.exe
  C:\Windows\System32\mzBNliU.exe
  2⤵
  PID:8504
- C:\Windows\System32\zljuDjz.exe
  C:\Windows\System32\zljuDjz.exe
  2⤵
  PID:9344
- C:\Windows\System32\wzbMcBA.exe
  C:\Windows\System32\wzbMcBA.exe
  2⤵
  PID:9400
- C:\Windows\System32\XFxDmce.exe
  C:\Windows\System32\XFxDmce.exe
  2⤵
  PID:9440
- C:\Windows\System32\BfEwENA.exe
  C:\Windows\System32\BfEwENA.exe
  2⤵
  PID:9548
- C:\Windows\System32\wAdBGZg.exe
  C:\Windows\System32\wAdBGZg.exe
  2⤵
  PID:9596
- C:\Windows\System32\HBmiyfl.exe
  C:\Windows\System32\HBmiyfl.exe
  2⤵
  PID:9684
- C:\Windows\System32\CGDPgXl.exe
  C:\Windows\System32\CGDPgXl.exe
  2⤵
  PID:9748
- C:\Windows\System32\ueIWaKn.exe
  C:\Windows\System32\ueIWaKn.exe
  2⤵
  PID:9816
- C:\Windows\System32\AjBmzxx.exe
  C:\Windows\System32\AjBmzxx.exe
  2⤵
  PID:9864
- C:\Windows\System32\PHLfOfT.exe
  C:\Windows\System32\PHLfOfT.exe
  2⤵
  PID:9904
- C:\Windows\System32\FFHbwcL.exe
  C:\Windows\System32\FFHbwcL.exe
  2⤵
  PID:9956
- C:\Windows\System32\ILbpCiW.exe
  C:\Windows\System32\ILbpCiW.exe
  2⤵
  PID:10040
- C:\Windows\System32\FMfAqIw.exe
  C:\Windows\System32\FMfAqIw.exe
  2⤵
  PID:10164
- C:\Windows\System32\dizyPvS.exe
  C:\Windows\System32\dizyPvS.exe
  2⤵
  PID:10184
- C:\Windows\System32\CJXqbUn.exe
  C:\Windows\System32\CJXqbUn.exe
  2⤵
  PID:9300
- C:\Windows\System32\aIwuvNN.exe
  C:\Windows\System32\aIwuvNN.exe
  2⤵
  PID:9384
- C:\Windows\System32\BMCRKGY.exe
  C:\Windows\System32\BMCRKGY.exe
  2⤵
  PID:9624
- C:\Windows\System32\Gntqtqa.exe
  C:\Windows\System32\Gntqtqa.exe
  2⤵
  PID:10024
- C:\Windows\System32\WqIWIgV.exe
  C:\Windows\System32\WqIWIgV.exe
  2⤵
  PID:9268
- C:\Windows\System32\lbKxpNT.exe
  C:\Windows\System32\lbKxpNT.exe
  2⤵
  PID:9452
- C:\Windows\System32\ziejLXv.exe
  C:\Windows\System32\ziejLXv.exe
  2⤵
  PID:9880
- C:\Windows\System32\OcAwzSC.exe
  C:\Windows\System32\OcAwzSC.exe
  2⤵
  PID:10188
- C:\Windows\System32\RKDLTdU.exe
  C:\Windows\System32\RKDLTdU.exe
  2⤵
  PID:8832
- C:\Windows\System32\gONzGCM.exe
  C:\Windows\System32\gONzGCM.exe
  2⤵
  PID:10264
- C:\Windows\System32\FONOLnp.exe
  C:\Windows\System32\FONOLnp.exe
  2⤵
  PID:10280
- C:\Windows\System32\vJJttii.exe
  C:\Windows\System32\vJJttii.exe
  2⤵
  PID:10304
- C:\Windows\System32\PwBNrDf.exe
  C:\Windows\System32\PwBNrDf.exe
  2⤵
  PID:10320
- C:\Windows\System32\bazFCyT.exe
  C:\Windows\System32\bazFCyT.exe
  2⤵
  PID:10348
- C:\Windows\System32\pxqTVRH.exe
  C:\Windows\System32\pxqTVRH.exe
  2⤵
  PID:10416
- C:\Windows\System32\NRUlwSk.exe
  C:\Windows\System32\NRUlwSk.exe
  2⤵
  PID:10440
- C:\Windows\System32\uBAvVCV.exe
  C:\Windows\System32\uBAvVCV.exe
  2⤵
  PID:10460
- C:\Windows\System32\oPiWByz.exe
  C:\Windows\System32\oPiWByz.exe
  2⤵
  PID:10480
- C:\Windows\System32\xoGbaaQ.exe
  C:\Windows\System32\xoGbaaQ.exe
  2⤵
  PID:10508
- C:\Windows\System32\wbnlfnF.exe
  C:\Windows\System32\wbnlfnF.exe
  2⤵
  PID:10540
- C:\Windows\System32\jFVbZep.exe
  C:\Windows\System32\jFVbZep.exe
  2⤵
  PID:10564
- C:\Windows\System32\kxdcAsX.exe
  C:\Windows\System32\kxdcAsX.exe
  2⤵
  PID:10580
- C:\Windows\System32\eDsGWlF.exe
  C:\Windows\System32\eDsGWlF.exe
  2⤵
  PID:10624
- C:\Windows\System32\wWHFiHV.exe
  C:\Windows\System32\wWHFiHV.exe
  2⤵
  PID:10648
- C:\Windows\System32\vAYUtjC.exe
  C:\Windows\System32\vAYUtjC.exe
  2⤵
  PID:10672
- C:\Windows\System32\yoOqQmL.exe
  C:\Windows\System32\yoOqQmL.exe
  2⤵
  PID:10712
- C:\Windows\System32\XRHvQKY.exe
  C:\Windows\System32\XRHvQKY.exe
  2⤵
  PID:10752
- C:\Windows\System32\LPDlNEh.exe
  C:\Windows\System32\LPDlNEh.exe
  2⤵
  PID:10780
- C:\Windows\System32\nLnzIMd.exe
  C:\Windows\System32\nLnzIMd.exe
  2⤵
  PID:10812
- C:\Windows\System32\sImYZTu.exe
  C:\Windows\System32\sImYZTu.exe
  2⤵
  PID:10836
- C:\Windows\System32\KCUJZpk.exe
  C:\Windows\System32\KCUJZpk.exe
  2⤵
  PID:10864
- C:\Windows\System32\JgyxUCP.exe
  C:\Windows\System32\JgyxUCP.exe
  2⤵
  PID:10892
- C:\Windows\System32\RPZLZEq.exe
  C:\Windows\System32\RPZLZEq.exe
  2⤵
  PID:10912
- C:\Windows\System32\TtRwSty.exe
  C:\Windows\System32\TtRwSty.exe
  2⤵
  PID:10936
- C:\Windows\System32\oZkgNam.exe
  C:\Windows\System32\oZkgNam.exe
  2⤵
  PID:10976
- C:\Windows\System32\UptCpsf.exe
  C:\Windows\System32\UptCpsf.exe
  2⤵
  PID:10992
- C:\Windows\System32\FQPimeT.exe
  C:\Windows\System32\FQPimeT.exe
  2⤵
  PID:11012
- C:\Windows\System32\AIGNPXa.exe
  C:\Windows\System32\AIGNPXa.exe
  2⤵
  PID:11040
- C:\Windows\System32\zSFlhdF.exe
  C:\Windows\System32\zSFlhdF.exe
  2⤵
  PID:11064
- C:\Windows\System32\hrenYWc.exe
  C:\Windows\System32\hrenYWc.exe
  2⤵
  PID:11088
- C:\Windows\System32\wyeUYrx.exe
  C:\Windows\System32\wyeUYrx.exe
  2⤵
  PID:11140
- C:\Windows\System32\hgaYAIA.exe
  C:\Windows\System32\hgaYAIA.exe
  2⤵
  PID:11156
- C:\Windows\System32\RNMgFdS.exe
  C:\Windows\System32\RNMgFdS.exe
  2⤵
  PID:11176
- C:\Windows\System32\WVUvSCZ.exe
  C:\Windows\System32\WVUvSCZ.exe
  2⤵
  PID:11228
- C:\Windows\System32\VvgluxJ.exe
  C:\Windows\System32\VvgluxJ.exe
  2⤵
  PID:11252
- C:\Windows\System32\CYZErEi.exe
  C:\Windows\System32\CYZErEi.exe
  2⤵
  PID:9792
- C:\Windows\System32\QazPdCg.exe
  C:\Windows\System32\QazPdCg.exe
  2⤵
  PID:10312
- C:\Windows\System32\KVvOhKm.exe
  C:\Windows\System32\KVvOhKm.exe
  2⤵
  PID:10428
- C:\Windows\System32\Uxmdexz.exe
  C:\Windows\System32\Uxmdexz.exe
  2⤵
  PID:10476
- C:\Windows\System32\IorxOUN.exe
  C:\Windows\System32\IorxOUN.exe
  2⤵
  PID:10548
- C:\Windows\System32\rOvmwWG.exe
  C:\Windows\System32\rOvmwWG.exe
  2⤵
  PID:10588
- C:\Windows\System32\IImduhc.exe
  C:\Windows\System32\IImduhc.exe
  2⤵
  PID:10592
- C:\Windows\System32\mxoguVJ.exe
  C:\Windows\System32\mxoguVJ.exe
  2⤵
  PID:10744
- C:\Windows\System32\BRnapzO.exe
  C:\Windows\System32\BRnapzO.exe
  2⤵
  PID:10952
- C:\Windows\System32\YiCwFdL.exe
  C:\Windows\System32\YiCwFdL.exe
  2⤵
  PID:11084
- C:\Windows\System32\pIrepgq.exe
  C:\Windows\System32\pIrepgq.exe
  2⤵
  PID:11184
- C:\Windows\System32\MJxDsNg.exe
  C:\Windows\System32\MJxDsNg.exe
  2⤵
  PID:10296
- C:\Windows\System32\rugDayW.exe
  C:\Windows\System32\rugDayW.exe
  2⤵
  PID:10472
- C:\Windows\System32\QeCsKLO.exe
  C:\Windows\System32\QeCsKLO.exe
  2⤵
  PID:10576
- C:\Windows\System32\NTvZlnq.exe
  C:\Windows\System32\NTvZlnq.exe
  2⤵
  PID:10860
- C:\Windows\System32\PzaXbNb.exe
  C:\Windows\System32\PzaXbNb.exe
  2⤵
  PID:10920
- C:\Windows\System32\efVioUx.exe
  C:\Windows\System32\efVioUx.exe
  2⤵
  PID:11148
- C:\Windows\System32\CPsWqMw.exe
  C:\Windows\System32\CPsWqMw.exe
  2⤵
  PID:10728
- C:\Windows\System32\MzthWQy.exe
  C:\Windows\System32\MzthWQy.exe
  2⤵
  PID:10632
- C:\Windows\System32\oJAEqIz.exe
  C:\Windows\System32\oJAEqIz.exe
  2⤵
  PID:11292
- C:\Windows\System32\JhyLglr.exe
  C:\Windows\System32\JhyLglr.exe
  2⤵
  PID:11312
- C:\Windows\System32\sFHXchn.exe
  C:\Windows\System32\sFHXchn.exe
  2⤵
  PID:11356
- C:\Windows\System32\QeRJIwR.exe
  C:\Windows\System32\QeRJIwR.exe
  2⤵
  PID:11380
- C:\Windows\System32\uoymsHZ.exe
  C:\Windows\System32\uoymsHZ.exe
  2⤵
  PID:11416
- C:\Windows\System32\DXJQZqH.exe
  C:\Windows\System32\DXJQZqH.exe
  2⤵
  PID:11448
- C:\Windows\System32\OzIpcxy.exe
  C:\Windows\System32\OzIpcxy.exe
  2⤵
  PID:11468
- C:\Windows\System32\SxRMizi.exe
  C:\Windows\System32\SxRMizi.exe
  2⤵
  PID:11492
- C:\Windows\System32\vxwLmGk.exe
  C:\Windows\System32\vxwLmGk.exe
  2⤵
  PID:11540
- C:\Windows\System32\xVQJMKA.exe
  C:\Windows\System32\xVQJMKA.exe
  2⤵
  PID:11564
- C:\Windows\System32\qjGZHwk.exe
  C:\Windows\System32\qjGZHwk.exe
  2⤵
  PID:11592
- C:\Windows\System32\hPDiCRx.exe
  C:\Windows\System32\hPDiCRx.exe
  2⤵
  PID:11620
- C:\Windows\System32\TBIhSci.exe
  C:\Windows\System32\TBIhSci.exe
  2⤵
  PID:11652
- C:\Windows\System32\uDwMLLX.exe
  C:\Windows\System32\uDwMLLX.exe
  2⤵
  PID:11668
- C:\Windows\System32\cKLstnv.exe
  C:\Windows\System32\cKLstnv.exe
  2⤵
  PID:11692
- C:\Windows\System32\TJMVEPA.exe
  C:\Windows\System32\TJMVEPA.exe
  2⤵
  PID:11728
- C:\Windows\System32\lpwjsrT.exe
  C:\Windows\System32\lpwjsrT.exe
  2⤵
  PID:11756
- C:\Windows\System32\eqJnsgN.exe
  C:\Windows\System32\eqJnsgN.exe
  2⤵
  PID:11784
- C:\Windows\System32\laGEEok.exe
  C:\Windows\System32\laGEEok.exe
  2⤵
  PID:11804
- C:\Windows\System32\SZVRhwx.exe
  C:\Windows\System32\SZVRhwx.exe
  2⤵
  PID:11828
- C:\Windows\System32\maEsShR.exe
  C:\Windows\System32\maEsShR.exe
  2⤵
  PID:11852
- C:\Windows\System32\CeqtvLo.exe
  C:\Windows\System32\CeqtvLo.exe
  2⤵
  PID:11884
- C:\Windows\System32\fwWinZG.exe
  C:\Windows\System32\fwWinZG.exe
  2⤵
  PID:11928
- C:\Windows\System32\EEazjUx.exe
  C:\Windows\System32\EEazjUx.exe
  2⤵
  PID:11960
- C:\Windows\System32\sElSNJO.exe
  C:\Windows\System32\sElSNJO.exe
  2⤵
  PID:11996
- C:\Windows\System32\GoueTsL.exe
  C:\Windows\System32\GoueTsL.exe
  2⤵
  PID:12020
- C:\Windows\System32\kaivCpw.exe
  C:\Windows\System32\kaivCpw.exe
  2⤵
  PID:12052
- C:\Windows\System32\OBIPSQt.exe
  C:\Windows\System32\OBIPSQt.exe
  2⤵
  PID:12072
- C:\Windows\System32\vpwlNpI.exe
  C:\Windows\System32\vpwlNpI.exe
  2⤵
  PID:12108
- C:\Windows\System32\alsxzoK.exe
  C:\Windows\System32\alsxzoK.exe
  2⤵
  PID:12124
- C:\Windows\System32\JCcLIqp.exe
  C:\Windows\System32\JCcLIqp.exe
  2⤵
  PID:12152
- C:\Windows\System32\ctwogyM.exe
  C:\Windows\System32\ctwogyM.exe
  2⤵
  PID:12200
- C:\Windows\System32\bRfeGUw.exe
  C:\Windows\System32\bRfeGUw.exe
  2⤵
  PID:12220
- C:\Windows\System32\DggytIu.exe
  C:\Windows\System32\DggytIu.exe
  2⤵
  PID:12248
- C:\Windows\System32\qPBabry.exe
  C:\Windows\System32\qPBabry.exe
  2⤵
  PID:12272
- C:\Windows\System32\dMPwQfW.exe
  C:\Windows\System32\dMPwQfW.exe
  2⤵
  PID:11300
- C:\Windows\System32\krtiiTl.exe
  C:\Windows\System32\krtiiTl.exe
  2⤵
  PID:11372
- C:\Windows\System32\XInGOUq.exe
  C:\Windows\System32\XInGOUq.exe
  2⤵
  PID:11484
- C:\Windows\System32\HBkkjPG.exe
  C:\Windows\System32\HBkkjPG.exe
  2⤵
  PID:11552
- C:\Windows\System32\XLRiSnX.exe
  C:\Windows\System32\XLRiSnX.exe
  2⤵
  PID:11600
- C:\Windows\System32\VkprzRZ.exe
  C:\Windows\System32\VkprzRZ.exe
  2⤵
  PID:11680
- C:\Windows\System32\AAMNimR.exe
  C:\Windows\System32\AAMNimR.exe
  2⤵
  PID:11712
- C:\Windows\System32\cOzUEqk.exe
  C:\Windows\System32\cOzUEqk.exe
  2⤵
  PID:11820
- C:\Windows\System32\IFLZMMO.exe
  C:\Windows\System32\IFLZMMO.exe
  2⤵
  PID:11836
- C:\Windows\System32\foZjDSL.exe
  C:\Windows\System32\foZjDSL.exe
  2⤵
  PID:11920
- C:\Windows\System32\pnanxSQ.exe
  C:\Windows\System32\pnanxSQ.exe
  2⤵
  PID:11988
- C:\Windows\System32\KfnHhUT.exe
  C:\Windows\System32\KfnHhUT.exe
  2⤵
  PID:12084
- C:\Windows\System32\UOnaiKz.exe
  C:\Windows\System32\UOnaiKz.exe
  2⤵
  PID:12148
- C:\Windows\System32\wzfmzlO.exe
  C:\Windows\System32\wzfmzlO.exe
  2⤵
  PID:12216
- C:\Windows\System32\TJTmved.exe
  C:\Windows\System32\TJTmved.exe
  2⤵
  PID:11284
- C:\Windows\System32\baInqWj.exe
  C:\Windows\System32\baInqWj.exe
  2⤵
  PID:11320
- C:\Windows\System32\KXLzrww.exe
  C:\Windows\System32\KXLzrww.exe
  2⤵
  PID:11516
- C:\Windows\System32\BwiNUqS.exe
  C:\Windows\System32\BwiNUqS.exe
  2⤵
  PID:11724
- C:\Windows\System32\xGpxiqG.exe
  C:\Windows\System32\xGpxiqG.exe
  2⤵
  PID:11864
- C:\Windows\System32\hNNwzgn.exe
  C:\Windows\System32\hNNwzgn.exe
  2⤵
  PID:11952
- C:\Windows\System32\vtbCVmR.exe
  C:\Windows\System32\vtbCVmR.exe
  2⤵
  PID:12232
- C:\Windows\System32\rJhJAJL.exe
  C:\Windows\System32\rJhJAJL.exe
  2⤵
  PID:3164
- C:\Windows\System32\ZqDTERR.exe
  C:\Windows\System32\ZqDTERR.exe
  2⤵
  PID:11288
- C:\Windows\System32\TOHmrCB.exe
  C:\Windows\System32\TOHmrCB.exe
  2⤵
  PID:11716
- C:\Windows\System32\VIacHjk.exe
  C:\Windows\System32\VIacHjk.exe
  2⤵
  PID:12120
- C:\Windows\System32\oBlbvDy.exe
  C:\Windows\System32\oBlbvDy.exe
  2⤵
  PID:4712
- C:\Windows\System32\MpLHieB.exe
  C:\Windows\System32\MpLHieB.exe
  2⤵
  PID:468
- C:\Windows\System32\ADjDYmh.exe
  C:\Windows\System32\ADjDYmh.exe
  2⤵
  PID:12296
- C:\Windows\System32\yqQDWmB.exe
  C:\Windows\System32\yqQDWmB.exe
  2⤵
  PID:12316
- C:\Windows\System32\TBXRQfi.exe
  C:\Windows\System32\TBXRQfi.exe
  2⤵
  PID:12336
- C:\Windows\System32\VTmOYjq.exe
  C:\Windows\System32\VTmOYjq.exe
  2⤵
  PID:12372
- C:\Windows\System32\KgUETpT.exe
  C:\Windows\System32\KgUETpT.exe
  2⤵
  PID:12408
- C:\Windows\System32\QhHOCVY.exe
  C:\Windows\System32\QhHOCVY.exe
  2⤵
  PID:12428
- C:\Windows\System32\dRYqVqf.exe
  C:\Windows\System32\dRYqVqf.exe
  2⤵
  PID:12448
- C:\Windows\System32\QfkKPgi.exe
  C:\Windows\System32\QfkKPgi.exe
  2⤵
  PID:12476
- C:\Windows\System32\KsJNcHF.exe
  C:\Windows\System32\KsJNcHF.exe
  2⤵
  PID:12508
- C:\Windows\System32\adaEjXY.exe
  C:\Windows\System32\adaEjXY.exe
  2⤵
  PID:12532
- C:\Windows\System32\ngOBASk.exe
  C:\Windows\System32\ngOBASk.exe
  2⤵
  PID:12576
- C:\Windows\System32\XhpZlAV.exe
  C:\Windows\System32\XhpZlAV.exe
  2⤵
  PID:12596
- C:\Windows\System32\HiLvMSS.exe
  C:\Windows\System32\HiLvMSS.exe
  2⤵
  PID:12628
- C:\Windows\System32\HiOFWrk.exe
  C:\Windows\System32\HiOFWrk.exe
  2⤵
  PID:12652
- C:\Windows\System32\WJXxCBn.exe
  C:\Windows\System32\WJXxCBn.exe
  2⤵
  PID:12700
- C:\Windows\System32\gzhMBzd.exe
  C:\Windows\System32\gzhMBzd.exe
  2⤵
  PID:12716
- C:\Windows\System32\cTfHwvC.exe
  C:\Windows\System32\cTfHwvC.exe
  2⤵
  PID:12748
- C:\Windows\System32\gALciGe.exe
  C:\Windows\System32\gALciGe.exe
  2⤵
  PID:12768
- C:\Windows\System32\dJTEqeE.exe
  C:\Windows\System32\dJTEqeE.exe
  2⤵
  PID:12804
- C:\Windows\System32\SCGpmxk.exe
  C:\Windows\System32\SCGpmxk.exe
  2⤵
  PID:12832
- C:\Windows\System32\sTHwetC.exe
  C:\Windows\System32\sTHwetC.exe
  2⤵
  PID:12856
- C:\Windows\System32\CcdeSpJ.exe
  C:\Windows\System32\CcdeSpJ.exe
  2⤵
  PID:12888
- C:\Windows\System32\HOTIsEX.exe
  C:\Windows\System32\HOTIsEX.exe
  2⤵
  PID:12908
- C:\Windows\System32\mOCNaGw.exe
  C:\Windows\System32\mOCNaGw.exe
  2⤵
  PID:12932
- C:\Windows\System32\YdejKfw.exe
  C:\Windows\System32\YdejKfw.exe
  2⤵
  PID:12956
- C:\Windows\System32\rIUJOmL.exe
  C:\Windows\System32\rIUJOmL.exe
  2⤵
  PID:12972
- C:\Windows\System32\tUsagzV.exe
  C:\Windows\System32\tUsagzV.exe
  2⤵
  PID:12992
- C:\Windows\System32\SJbNFgC.exe
  C:\Windows\System32\SJbNFgC.exe
  2⤵
  PID:13020
- C:\Windows\System32\kWdPuMC.exe
  C:\Windows\System32\kWdPuMC.exe
  2⤵
  PID:13064
- C:\Windows\System32\yQUXezW.exe
  C:\Windows\System32\yQUXezW.exe
  2⤵
  PID:13096
- C:\Windows\System32\GGVzoLh.exe
  C:\Windows\System32\GGVzoLh.exe
  2⤵
  PID:13120
- C:\Windows\System32\TAuFiUs.exe
  C:\Windows\System32\TAuFiUs.exe
  2⤵
  PID:13144
- C:\Windows\System32\OLyeGFV.exe
  C:\Windows\System32\OLyeGFV.exe
  2⤵
  PID:13164
- C:\Windows\System32\CqLjdiQ.exe
  C:\Windows\System32\CqLjdiQ.exe
  2⤵
  PID:13228
- C:\Windows\System32\TUnoxpC.exe
  C:\Windows\System32\TUnoxpC.exe
  2⤵
  PID:13256
- C:\Windows\System32\ogtqbme.exe
  C:\Windows\System32\ogtqbme.exe
  2⤵
  PID:13284
- C:\Windows\System32\UcXrPVP.exe
  C:\Windows\System32\UcXrPVP.exe
  2⤵
  PID:12292
- C:\Windows\System32\HscEdRy.exe
  C:\Windows\System32\HscEdRy.exe
  2⤵
  PID:12328
- C:\Windows\System32\PdjpHso.exe
  C:\Windows\System32\PdjpHso.exe
  2⤵
  PID:12420
- C:\Windows\System32\KnvKaaQ.exe
  C:\Windows\System32\KnvKaaQ.exe
  2⤵
  PID:12460
- C:\Windows\System32\MceVxwc.exe
  C:\Windows\System32\MceVxwc.exe
  2⤵
  PID:12528
- C:\Windows\System32\YmMvpss.exe
  C:\Windows\System32\YmMvpss.exe
  2⤵
  PID:12584
- C:\Windows\System32\LAvUUeO.exe
  C:\Windows\System32\LAvUUeO.exe
  2⤵
  PID:12636
- C:\Windows\System32\JsEsHOl.exe
  C:\Windows\System32\JsEsHOl.exe
  2⤵
  PID:12736
- C:\Windows\System32\LkiETxB.exe
  C:\Windows\System32\LkiETxB.exe
  2⤵
  PID:12828
- C:\Windows\System32\LiYdiWq.exe
  C:\Windows\System32\LiYdiWq.exe
  2⤵
  PID:12876
- C:\Windows\System32\QPKUqrO.exe
  C:\Windows\System32\QPKUqrO.exe
  2⤵
  PID:12904
- C:\Windows\System32\XAHjLFX.exe
  C:\Windows\System32\XAHjLFX.exe
  2⤵
  PID:12984
- C:\Windows\System32\kAWUjGT.exe
  C:\Windows\System32\kAWUjGT.exe
  2⤵
  PID:13040
- C:\Windows\System32\FnylYWG.exe
  C:\Windows\System32\FnylYWG.exe
  2⤵
  PID:13108
- C:\Windows\System32\dlzBKYe.exe
  C:\Windows\System32\dlzBKYe.exe
  2⤵
  PID:1512
- C:\Windows\System32\zPGZGGB.exe
  C:\Windows\System32\zPGZGGB.exe
  2⤵
  PID:4060
- C:\Windows\System32\pcwLRqa.exe
  C:\Windows\System32\pcwLRqa.exe
  2⤵
  PID:13272
- C:\Windows\System32\ECXXMaY.exe
  C:\Windows\System32\ECXXMaY.exe
  2⤵
  PID:12392
- C:\Windows\System32\etCdCvw.exe
  C:\Windows\System32\etCdCvw.exe
  2⤵
  PID:12712
- C:\Windows\System32\flQzUyc.exe
  C:\Windows\System32\flQzUyc.exe
  2⤵
  PID:12920
- C:\Windows\System32\bQaGdRm.exe
  C:\Windows\System32\bQaGdRm.exe
  2⤵
  PID:13000
- C:\Windows\System32\sFIOHsn.exe
  C:\Windows\System32\sFIOHsn.exe
  2⤵
  PID:13156
- C:\Windows\System32\rxjcaHL.exe
  C:\Windows\System32\rxjcaHL.exe
  2⤵
  PID:1060
- C:\Windows\System32\gwToyzV.exe
  C:\Windows\System32\gwToyzV.exe
  2⤵
  PID:12552
- C:\Windows\System32\BiQEZWe.exe
  C:\Windows\System32\BiQEZWe.exe
  2⤵
  PID:13036
- C:\Windows\System32\ZNiFNJT.exe
  C:\Windows\System32\ZNiFNJT.exe
  2⤵
  PID:13240

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:3732

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BIZbqsl.exe

Filesize
1.5MB

MD5
4403622cd962842777579f389a7cae5d

SHA1
a551a625ae40d4e00f1da9c05f96495cd4936dae

SHA256
f1819da680b2af82bcf65a1969e424ae0451574f0b787ed01aec5554b900892e

SHA512
33f63ec13221aeb5bcd3399058e7a2caa9a61756821873527c91804dec9ae89c6731c2aed58249c107f1278f9e0214f05e9cc6524d4860feffab17572b306794

Download Submit
C:\Windows\System32\BPxfgxq.exe

Filesize
1.5MB

MD5
0186f81f4b38302c49e147558d6917ea

SHA1
5b1590e9b44d247b493dd02b41497b4b3334bf7d

SHA256
969e12fc004eb2b89f4353a91d5e737373ef5900c6115c5d9592df5c307b712e

SHA512
8aa1c4ebc4210a6e834290f08e5cc6c6ef33fd10a4a74461e35e3a37bdd504555c524ee8735903ab4722f9d285658f92d04fd04ffa06c2a644f64814bd18eabb

Download Submit
C:\Windows\System32\BoZULxM.exe

Filesize
1.5MB

MD5
62b8c02d9c5a74dff2bed64bc2fa7f2f

SHA1
056b62d9db6728018850fb127cf41098e42c1a36

SHA256
c42f372e4a6943c4faffdeab7c0db3f7a476e74cacadc5b85b56fc5ba68d803e

SHA512
2fce4da262657c12e85fcc48ba646340a0f20ae3c92e29341cd334943d941470ae91cf9a71942e254ce7d211a6acbf1dc1f3ccfb1427de736c0f962a0fb285d8

Download Submit
C:\Windows\System32\CBPTNjk.exe

Filesize
1.5MB

MD5
d81ef614123ec8675a5d96fc435846c8

SHA1
eba23252a34175a78bc460517449c3d21a19e5db

SHA256
726d39ec212f82bf78d1665d65c65cade1858953f7b8b1e6f23a79231faa4722

SHA512
9a9acab7c301df466915b0c966737081831d3e92b7b70840b6e09cb696f49ed4903913e2f6e607df9aad9b0ccc44bfb2ca5d776aee780999a6cd031c91a98096

Download Submit
C:\Windows\System32\CJjUAZe.exe

Filesize
1.5MB

MD5
dbdc06bf7173a38149bd70ec8f8cfb6f

SHA1
b9ed36bde1c4eaaf35dbfd3f28d82ccd23268409

SHA256
792b01b0dcb75ce78fe17f3b642dae15156385186973a355137844125019bd83

SHA512
48f18357cf03087b1bc354fc40ad3e3fedabcf47dbfa39b755674d1125e1fc3d3c7e0bd7d8434b4f2d292dd9c33f452f7ee9cb325bf6afa068afc2b197275529

Download Submit
C:\Windows\System32\Cjywukb.exe

Filesize
1.5MB

MD5
30efced071c30922384b572c6dd804f2

SHA1
e01acc5f7e7a783a187abe6c43395e45736a2415

SHA256
b0d6ea9ff80d41f6d53c75c0e146ffb683c88cfb365d705ea7d1c01aee1a9af0

SHA512
d66a539415015fd150904b239b704a9c052754a777de7cf02b743eb790f2bd82dd8b437fe5421ede86f9dc3f963595e876ccec717591d51ebf32cefadf041248

Download Submit
C:\Windows\System32\DpeKoZs.exe

Filesize
1.5MB

MD5
67cdd33cf7e83f5d97bdf4af9ccfdd39

SHA1
440dbbf3f65d70954b4e1885eb6ad27f5f0b5559

SHA256
e0ae02da4b55932d38ef64c39e77d84a251b586c8a9ba2081c58b94238254fbf

SHA512
a172a858858b1b06a5b881ee04db0079386d256896053a3f1c66ef7865b5d7147754724cabb4d107d882ac53018c8bdf41432025a53b1871736e0e7afbb72362

Download Submit
C:\Windows\System32\EtcczxC.exe

Filesize
1.5MB

MD5
77b68ddddcb909d049ffa012ffca01bf

SHA1
8507492cee922f1bed538cfd577cf94dd3fbbb54

SHA256
43ba06cb3fe01c9191e6b5375fa4c7d58c1141ff041130d5ee552a8575f1b522

SHA512
28a771d5ad8b6d11214a9e4fbbef20686fa31225453c037e4d347b6a3a936e4920b08b86c4be72678843948497c3f564ce39fffa07f367fbdae1e51fcc468c22

Download Submit
C:\Windows\System32\FUWlkhc.exe

Filesize
1.5MB

MD5
7a6c9f78f1d9e86ec7948290233d2508

SHA1
66b68f73cf6d6240229142cca033259cefb1b9aa

SHA256
77d2494e343fb1d2bbd8ba4770361aa1a338c5549167191f6d47930c1862fae5

SHA512
6572bc7196e1f0950f8aa396d69f5adec247835dee33d6c0e9a116b9691a53027fa33b4d5ba615082a951158db703fba0b2b337b0d197470bd17ae6d93f82721

Download Submit
C:\Windows\System32\FXHZPeL.exe

Filesize
1.5MB

MD5
0731a78136f4ccf8b08c2606b3c2fabc

SHA1
03381971326b5bbb514b1304d7b65ce0379fd05b

SHA256
1cd00f9213a07964c1c258aafe6eb79fb9ac0a339d6998e4714ba2a2c5a12089

SHA512
0815250a4bcfbf807a7221a1e90055d14ec3137458d14a87ff4d3f8ee84328ce82d94d99fb29250cf1866ab28508f2d37c7373decf1578707c8da7d23fc624c0

Download Submit
C:\Windows\System32\Fwngqnd.exe

Filesize
1.5MB

MD5
6cbab52dda7406fe6f9dc110f2e47e76

SHA1
46d82d4d0c1745e7759b60af19e6a0cdd5d2e65b

SHA256
0a84e881934b63765345632be9e6f5284f307cc77d96462f93c395223c53b0fa

SHA512
f4a15122428a682cc91448bd8cf73cc8db68248dd482ce013127f8d6030d0dbd5d6639fe374be0b01695f6b4862a3611355e31f410231d81a712d4fcd7051ad6

Download Submit
C:\Windows\System32\GjjDfWY.exe

Filesize
1.5MB

MD5
94d7e30ce081dcd4815ec5a3939b2312

SHA1
b6ef144612d9b22251a9dc2fe7f249cda7820e8e

SHA256
3c43be41b29717d289d10c6aad7e593acd729b9159482d3b1715d2955350b27b

SHA512
32100859a78d94e2b151990cce185f8ec6ec75548d865134c8c03ba9da1d8122f5bd22a74079abb0ef681fab29c46aa8e79ac85566e6101772c702d6e3fdf4c0

Download Submit
C:\Windows\System32\GlcZtMJ.exe

Filesize
1.5MB

MD5
0f849aef982a14b71c159a2cca5f8f25

SHA1
bcefeb99c7e61e32fe8f0596bf30cf3f6b48e879

SHA256
4812cc6ccee410b018929b3785c04944950a8bca1751d37d1512f8553437188a

SHA512
9b12c5b749598138f7621e9c07af48fbe0315b076eecea14bfbbfd1e7f6056b125962b078043942166ebbfdba9eb2fa64c987b1f0fae78cf75f071a622a3f21e

Download Submit
C:\Windows\System32\GudhBTL.exe

Filesize
1.5MB

MD5
a033a9be3d89d234e1c5e1b1a9b362ee

SHA1
e4c2ee29cc85ef2333b09bd38f892b5404c2bd2c

SHA256
8f28b7e3e94de6a53a1ef0de22610bd04480b00a09f98fcbb98695049a6d2dd1

SHA512
1e9739069977e33a36c4fab3e5f9f27affc3d1911a81cccc74f226ad766cb7d3f7be662cf1e4f16359991092c5b0b74e50952ce3addee4ed2c286394c9569bb2

Download Submit
C:\Windows\System32\ItXIhLT.exe

Filesize
1.5MB

MD5
28df76b5a3d26ba3478bc264d671f2b6

SHA1
38139af4b92e46377ce09976c79c4f5b57f8cd50

SHA256
76d2ab608019a9afefd5bb534ab8d55f87f0f780f06947d563cc05bf56c5cb3d

SHA512
8608e2c05eff11bbd5b9c7153d25da2de7b718c6feedaa33bfc0590f701c844afee91fe8fb17fd29b2f28848dc96cd48929476ba7777a3af2e23cff83734732b

Download Submit
C:\Windows\System32\KcKxLMr.exe

Filesize
1.5MB

MD5
865c310a7c623be5e973931511abc389

SHA1
3d4f79596f9d015d1841a9807998bebbbd048351

SHA256
a621a96d072c2f3047ff39c290f098a074a31081afa71ec02271f1aac4ec4b04

SHA512
1fc2622ed5473a26bd042b0b48dcd255295c9c5186a38ed3db0b8075ec9660f52e584ed8c5fc796eeee2d7d30209af2651c8b083a0564e28c70219b74ccfea07

Download Submit
C:\Windows\System32\OkUNfQi.exe

Filesize
1.5MB

MD5
05dab54e516a4f21dbcfe34179024da5

SHA1
450940273cb1bb4ca35b5b194a9f50201ac8a9f5

SHA256
dc5d56cc93f2757739386e0aff511d07d26f7dc7a2daff3b10319261ebf802fa

SHA512
9216e2429642b92cc73c1d3d7b0191cb2de531969376eb26cb33a02179f368bee2812a8d0225f2436be97c8b4bef1119f643561bb7b190685c2262ec3e6ddc6c

Download Submit
C:\Windows\System32\RGnucvt.exe

Filesize
1.5MB

MD5
47851ad57f87dacde171540893704091

SHA1
6e040b36eedcd02a989e23844b9b6c31b15f89f8

SHA256
47679fcf5c5773da9a04f946cf127c9421ba5c63f1ed39485d41a8b77d021dc0

SHA512
7686c68f36681a965fc6292822a4dcf67ab2a130a1a8db9c82b50f2dc3675e2235ff4792321d43d10f11c4c08ab640d7a7f945a562168467d3c20b29183ff201

Download Submit
C:\Windows\System32\RYpreWM.exe

Filesize
1.5MB

MD5
5f666211979e14fcd908fe2557bfb3ed

SHA1
95c3ff8ba20ec8af88a8c3f663acdf2e50af6694

SHA256
190365ca1a7b482def1229a971934d2bfbe3608e2ba0c54d7a504ca995bcfe39

SHA512
0951009f24dcfdea158943c6e37428001b272c92a367cb4b05ed39a8109f1bd9c5f9d3ee9d2ed5c7debe5e9b88c5dcdee82bede315878d3e4f7143826a934a35

Download Submit
C:\Windows\System32\VpRXbqm.exe

Filesize
1.5MB

MD5
22c40df368da74412f1738879726394e

SHA1
b2fa8c82a31293159811e9342ac10cd3cec960c5

SHA256
ed0ad4f4c5b520bacf60478a255cce6fe1a3ab537439d59fc490d5c54c7d803f

SHA512
0c798c9d560a58959ed1cc392c182228e19063f6357a43c46f922930e8bef361fa8fa150d384911b3535d28c2c133ea84e1613de0fc892bcd7275d09363ea024

Download Submit
C:\Windows\System32\WcgqlwX.exe

Filesize
1.5MB

MD5
5c58cb2e27187244fccbb3d2197c9475

SHA1
4b56b0bfcb48c4362857adc3718d6841b8a95f7e

SHA256
806b2af18f24c4bb09ab46ae6e90b2ea616ba8212964f83d3fbd10062f3ee15b

SHA512
be56c6bec6d1fe2262133ce2e11ebdc63b1468d4f4d5e36766151beb4995479582ce0a13f949b21891b017073c12efc01a455e1000763d9037f24f3a219256ea

Download Submit
C:\Windows\System32\XaGXVIN.exe

Filesize
1.5MB

MD5
e7925d2af94ac4b9c18b62b151d54903

SHA1
7e0e922f0eff53cfd9f4c4a0816c0699d2e98dfb

SHA256
47a96ae49432cd3971a2e3b86dc5c2bbd11c2b3a318a07644bcad93b7c1165ce

SHA512
501e291e20c921dc7832a583d1bbc4c2f68dcafda9d4ce6534dfaa5a3d490e1416d51dfa999e3c8c5e280965539377a269507a5bfa01a238a4abebdb301aa5b4

Download Submit
C:\Windows\System32\aHSRPUk.exe

Filesize
1.5MB

MD5
8afe26452d2a70c7e1f18cd04388dcc0

SHA1
d1812b4f29cc245a3ad86fbf3fcc4b536d75d0ad

SHA256
a05f783d2b8d4540459c319f698d9e6f1e4c7da5ae73f461878f476624c908f7

SHA512
68fd1b3b14c8592ce11e5952b6d7230b44958317ff0f40cec40193a9e661a5fbc79dc8c045ca7278f7287ec1bfb5bc025bf17b70e4e78e34e47f657c3441a411

Download Submit
C:\Windows\System32\axNzASB.exe

Filesize
1.5MB

MD5
19c66096d013456c6d30dfaa14b0c8b3

SHA1
255652cfb12ea41921fde45184a3f5100acf01d5

SHA256
b8665168f82aef3e9f9ca63647f3a827a5003289b495f9b48ab5695614d415a3

SHA512
3ba495c02642e5f8e43af9497db65e84480a0f27cd5ea72e5a5e4774b1c3dd8ab8ca95b51e9abb8df16bea1a0eaa4ae3275d72868a1dac0f39cdf6a18c1f795f

Download Submit
C:\Windows\System32\gKfPifd.exe

Filesize
1.5MB

MD5
ba761b5f27f4342e3e9d77103ec19fc9

SHA1
c5916c1b28bb8aeeb7009bd4bf133aefd7d4f91d

SHA256
c4220ec5d0b11be488c13d491120025be959d139f6548869d3db9c922b9f0a43

SHA512
cc9251cf6a32d33fb8f2a9bbc6075ad8fc913140d48d209b376e5a165c0c094566cd82f20016b7b4541df77b7d3e9d03aa80c632c5ce487de9edd771e80d077e

Download Submit
C:\Windows\System32\giglEnA.exe

Filesize
1.5MB

MD5
b3e223a168e4f4124ab37d2716d8776a

SHA1
cd5f09d940943564005df3d34c45482e30f57d47

SHA256
f58d57097fa00f67ce44eb976d4f7f1abf3b96e6edccf3c3e0701bcd35258ece

SHA512
0f71d9fbe44310100468fa7ab7254847628d41fa5341449564dd7340bd7c36e0e6e9888eb3fb7312034365d26131c10e61cab7954b56aa8d51fd8326240b9c45

Download Submit
C:\Windows\System32\lHvuOuE.exe

Filesize
1.5MB

MD5
b9832e2d2712f81850b65d672006c336

SHA1
295dc023447f7ef56a2eaf892696611ed39911cf

SHA256
8a5a1fdbfba62afe3e90264230d7f2376173cbf0ea6e5f12fb282a41b4b56a29

SHA512
d796ee99662c1f7388d4cb05126d885cfa07c257de01aeef88324c563e2d0c20fef021e83e5382f265fca8396f5df2e37de105f6a20245388d6c98c3cfe8f611

Download Submit
C:\Windows\System32\nCRxiOI.exe

Filesize
1.5MB

MD5
02d6417522098440de6c343ce1498807

SHA1
127220f6a9cc2c405d847d5062543ec4eb5c7bec

SHA256
ae0012577e9a4f5f9612857a78bfebb4056d0d27dc7b91989471dfeb9c6e20e3

SHA512
cb713048adc4c87accdee9a10915917de6abfba129b64bc748602da0d008f461d0100d61e1ab9e50e57bc60bf9b054b340c2769703c959fe08b7f08f68722082

Download Submit
C:\Windows\System32\qounwmX.exe

Filesize
1.5MB

MD5
98c57fffea8bc716c8e648024fea76ef

SHA1
a0b98436012778c093b06242b56162ddb556c830

SHA256
c2f76cb53067409518bc2c253b879eda4670613f52a79882e0932edb962abe6e

SHA512
3a14da73f8213a928e485a5bff5b698c2f77c1df4835d80584e240d1692193fb9821245af98a3db1098a037f740f43117ca1a200b94fcfbc7b88314072ac3b8d

Download Submit
C:\Windows\System32\saQcNDu.exe

Filesize
1.5MB

MD5
c187571f4570756431fa79786e34bde5

SHA1
9b6573a3c0676e79f4527f104bac18d261c7506c

SHA256
571cbf25871a262610f26f49e0799d480a7c7bdbe12fd431efc11ccb1c4b4a1b

SHA512
4f3a2432706353e6336f70b1ff0ecee77f8b28761fb98c89b7ddbbcf69ee21e961f50f624e00d67244e198e7fec2a20eb92923c56115f92cb08ab5b0cc21e12a

Download Submit
C:\Windows\System32\vKmWCFd.exe

Filesize
1.5MB

MD5
a5579b9b720df0bd398e32cc6979f7ef

SHA1
a16c7649b57151705bbe43c8cd664262512db0b7

SHA256
ab1509e0358119ae335cd73e2c66f2be73f0980b51fe8a8a232ed8e2e0e796ed

SHA512
0aa1654246bdcc172b0591f8b278f1b9838613adb6d860bf343d562c2d0805247ab1ce6fc642d6f03777c1d4ba24016d275147b6602b4770de471efa94e07a3b

Download Submit
C:\Windows\System32\yinJlrx.exe

Filesize
1.5MB

MD5
f9455d9a1c088f5185f6fbb5b56de5fa

SHA1
f888bcb5479adc012dca4e57820705aa18b8a460

SHA256
1c233a62fc115b5a961f98223ad78649037deacc3b7c13a3a62306a357c5b8f4

SHA512
00624091c9af47d656466af816e1fae21738b2a0f4e13b606bd2e3a5ea4f14e5a9e845e0fab853b4b24b251613c5b339f44dccc95b1dcc4a1ed2b6c9ab1a4803

Download Submit
memory/60-39-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp

Filesize
3.9MB

Download
memory/60-1971-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp

Filesize
3.9MB

Download
memory/60-2039-0x00007FF78DA80000-0x00007FF78DE71000-memory.dmp

Filesize
3.9MB

Download
memory/316-384-0x00007FF7B7190000-0x00007FF7B7581000-memory.dmp

Filesize
3.9MB

Download
memory/316-2072-0x00007FF7B7190000-0x00007FF7B7581000-memory.dmp

Filesize
3.9MB

Download
memory/400-25-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp

Filesize
3.9MB

Download
memory/400-2035-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp

Filesize
3.9MB

Download
memory/400-1969-0x00007FF7B3790000-0x00007FF7B3B81000-memory.dmp

Filesize
3.9MB

Download
memory/512-34-0x00007FF671160000-0x00007FF671551000-memory.dmp

Filesize
3.9MB

Download
memory/512-2041-0x00007FF671160000-0x00007FF671551000-memory.dmp

Filesize
3.9MB

Download
memory/512-1970-0x00007FF671160000-0x00007FF671551000-memory.dmp

Filesize
3.9MB

Download
memory/672-2054-0x00007FF6F8340000-0x00007FF6F8731000-memory.dmp

Filesize
3.9MB

Download
memory/672-373-0x00007FF6F8340000-0x00007FF6F8731000-memory.dmp

Filesize
3.9MB

Download
memory/696-2049-0x00007FF6EBC70000-0x00007FF6EC061000-memory.dmp

Filesize
3.9MB

Download
memory/696-372-0x00007FF6EBC70000-0x00007FF6EC061000-memory.dmp

Filesize
3.9MB

Download
memory/932-13-0x00007FF603ED0000-0x00007FF6042C1000-memory.dmp

Filesize
3.9MB

Download
memory/932-2033-0x00007FF603ED0000-0x00007FF6042C1000-memory.dmp

Filesize
3.9MB

Download
memory/1236-2061-0x00007FF65C130000-0x00007FF65C521000-memory.dmp

Filesize
3.9MB

Download
memory/1236-382-0x00007FF65C130000-0x00007FF65C521000-memory.dmp

Filesize
3.9MB

Download
memory/1272-379-0x00007FF7F25C0000-0x00007FF7F29B1000-memory.dmp

Filesize
3.9MB

Download
memory/1272-2065-0x00007FF7F25C0000-0x00007FF7F29B1000-memory.dmp

Filesize
3.9MB

Download
memory/1524-2045-0x00007FF689C30000-0x00007FF68A021000-memory.dmp

Filesize
3.9MB

Download
memory/1524-50-0x00007FF689C30000-0x00007FF68A021000-memory.dmp

Filesize
3.9MB

Download
memory/2256-7-0x00007FF716590000-0x00007FF716981000-memory.dmp

Filesize
3.9MB

Download
memory/2256-2010-0x00007FF716590000-0x00007FF716981000-memory.dmp

Filesize
3.9MB

Download
memory/2416-381-0x00007FF7E03B0000-0x00007FF7E07A1000-memory.dmp

Filesize
3.9MB

Download
memory/2416-2063-0x00007FF7E03B0000-0x00007FF7E07A1000-memory.dmp

Filesize
3.9MB

Download
memory/2720-44-0x00007FF7421B0000-0x00007FF7425A1000-memory.dmp

Filesize
3.9MB

Download
memory/2720-2037-0x00007FF7421B0000-0x00007FF7425A1000-memory.dmp

Filesize
3.9MB

Download
memory/2868-385-0x00007FF729280000-0x00007FF729671000-memory.dmp

Filesize
3.9MB

Download
memory/2868-2074-0x00007FF729280000-0x00007FF729671000-memory.dmp

Filesize
3.9MB

Download
memory/3024-391-0x00007FF773370000-0x00007FF773761000-memory.dmp

Filesize
3.9MB

Download
memory/3024-2082-0x00007FF773370000-0x00007FF773761000-memory.dmp

Filesize
3.9MB

Download
memory/3200-380-0x00007FF79FE70000-0x00007FF7A0261000-memory.dmp

Filesize
3.9MB

Download
memory/3200-2059-0x00007FF79FE70000-0x00007FF7A0261000-memory.dmp

Filesize
3.9MB

Download
memory/3220-2031-0x00007FF674120000-0x00007FF674511000-memory.dmp

Filesize
3.9MB

Download
memory/3220-19-0x00007FF674120000-0x00007FF674511000-memory.dmp

Filesize
3.9MB

Download
memory/3352-2069-0x00007FF63A910000-0x00007FF63AD01000-memory.dmp

Filesize
3.9MB

Download
memory/3352-383-0x00007FF63A910000-0x00007FF63AD01000-memory.dmp

Filesize
3.9MB

Download
memory/3712-2067-0x00007FF7333D0000-0x00007FF7337C1000-memory.dmp

Filesize
3.9MB

Download
memory/3712-388-0x00007FF7333D0000-0x00007FF7337C1000-memory.dmp

Filesize
3.9MB

Download
memory/3816-1-0x000002161F060000-0x000002161F070000-memory.dmp

Filesize
64KB

Download
memory/3816-0-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp

Filesize
3.9MB

Download
memory/3816-2005-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp

Filesize
3.9MB

Download
memory/3816-1482-0x00007FF7BC960000-0x00007FF7BCD51000-memory.dmp

Filesize
3.9MB

Download
memory/4044-374-0x00007FF6ED6A0000-0x00007FF6EDA91000-memory.dmp

Filesize
3.9MB

Download
memory/4044-2047-0x00007FF6ED6A0000-0x00007FF6EDA91000-memory.dmp

Filesize
3.9MB

Download
memory/4928-2057-0x00007FF6BFAD0000-0x00007FF6BFEC1000-memory.dmp

Filesize
3.9MB

Download
memory/4928-378-0x00007FF6BFAD0000-0x00007FF6BFEC1000-memory.dmp

Filesize
3.9MB

Download
memory/4984-2051-0x00007FF70D6A0000-0x00007FF70DA91000-memory.dmp

Filesize
3.9MB

Download
memory/4984-376-0x00007FF70D6A0000-0x00007FF70DA91000-memory.dmp

Filesize
3.9MB

Download
memory/5044-2043-0x00007FF639F70000-0x00007FF63A361000-memory.dmp

Filesize
3.9MB

Download
memory/5044-377-0x00007FF639F70000-0x00007FF63A361000-memory.dmp

Filesize
3.9MB

Download
memory/5092-2055-0x00007FF7FA9D0000-0x00007FF7FADC1000-memory.dmp

Filesize
3.9MB

Download
memory/5092-375-0x00007FF7FA9D0000-0x00007FF7FADC1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads