xmrig | 3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147

Analysis

max time kernel
128s
max time network
133s
platform
windows10-2004_x64
resource
win10v2004-20240611-en
resource tags

arch:x64arch:x86image:win10v2004-20240611-enlocale:en-usos:windows10-2004-x64system
submitted
27-06-2024 23:35

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
Size

1.8MB
MD5

b2ae18ce65e467d76cd481e676c7da10
SHA1

59e938e5deea903880c61e741ac580d62033b74a
SHA256

3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147
SHA512

84d7a6e61eb1974db585c4e23731db400ac6e95c320f453f721372a7be60ce43982ac5cde05543161b0b45249913dd1ac15fd972b25ad22caf68752f0d7dd5ff
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlOqzJO0L0+Eqq31vkMOexG4GOlwQf6zErfc80srt1j:knw9oUUEEDlOuJUJGFQfKErftt3aax

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/1972-43-0x00007FF7279E0000-0x00007FF727DD1000-memory.dmp	xmrig
behavioral2/memory/3332-379-0x00007FF6E6BA0000-0x00007FF6E6F91000-memory.dmp	xmrig
behavioral2/memory/4408-378-0x00007FF761790000-0x00007FF761B81000-memory.dmp	xmrig
behavioral2/memory/1344-45-0x00007FF699E30000-0x00007FF69A221000-memory.dmp	xmrig
behavioral2/memory/3724-38-0x00007FF703190000-0x00007FF703581000-memory.dmp	xmrig
behavioral2/memory/1416-35-0x00007FF6B2520000-0x00007FF6B2911000-memory.dmp	xmrig
behavioral2/memory/3336-380-0x00007FF627740000-0x00007FF627B31000-memory.dmp	xmrig
behavioral2/memory/1976-381-0x00007FF7C7F60000-0x00007FF7C8351000-memory.dmp	xmrig
behavioral2/memory/3576-383-0x00007FF7BD540000-0x00007FF7BD931000-memory.dmp	xmrig
behavioral2/memory/3552-384-0x00007FF6CDFD0000-0x00007FF6CE3C1000-memory.dmp	xmrig
behavioral2/memory/4880-386-0x00007FF61C4E0000-0x00007FF61C8D1000-memory.dmp	xmrig
behavioral2/memory/4864-388-0x00007FF755740000-0x00007FF755B31000-memory.dmp	xmrig
behavioral2/memory/2840-389-0x00007FF723B00000-0x00007FF723EF1000-memory.dmp	xmrig
behavioral2/memory/4580-387-0x00007FF6B59B0000-0x00007FF6B5DA1000-memory.dmp	xmrig
behavioral2/memory/1712-385-0x00007FF7A8B30000-0x00007FF7A8F21000-memory.dmp	xmrig
behavioral2/memory/2764-382-0x00007FF71F480000-0x00007FF71F871000-memory.dmp	xmrig
behavioral2/memory/1468-390-0x00007FF6FCD00000-0x00007FF6FD0F1000-memory.dmp	xmrig
behavioral2/memory/904-391-0x00007FF7AAD00000-0x00007FF7AB0F1000-memory.dmp	xmrig
behavioral2/memory/2504-392-0x00007FF6D7DC0000-0x00007FF6D81B1000-memory.dmp	xmrig
behavioral2/memory/4872-399-0x00007FF7E23C0000-0x00007FF7E27B1000-memory.dmp	xmrig
behavioral2/memory/1084-405-0x00007FF616A50000-0x00007FF616E41000-memory.dmp	xmrig
behavioral2/memory/3304-1993-0x00007FF616E10000-0x00007FF617201000-memory.dmp	xmrig
behavioral2/memory/3536-1994-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp	xmrig
behavioral2/memory/1188-2027-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp	xmrig
behavioral2/memory/316-2029-0x00007FF77DA10000-0x00007FF77DE01000-memory.dmp	xmrig
behavioral2/memory/3304-2034-0x00007FF616E10000-0x00007FF617201000-memory.dmp	xmrig
behavioral2/memory/1416-2036-0x00007FF6B2520000-0x00007FF6B2911000-memory.dmp	xmrig
behavioral2/memory/1972-2040-0x00007FF7279E0000-0x00007FF727DD1000-memory.dmp	xmrig
behavioral2/memory/3536-2038-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp	xmrig
behavioral2/memory/3724-2042-0x00007FF703190000-0x00007FF703581000-memory.dmp	xmrig
behavioral2/memory/1344-2044-0x00007FF699E30000-0x00007FF69A221000-memory.dmp	xmrig
behavioral2/memory/1188-2046-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp	xmrig
behavioral2/memory/3336-2052-0x00007FF627740000-0x00007FF627B31000-memory.dmp	xmrig
behavioral2/memory/3576-2058-0x00007FF7BD540000-0x00007FF7BD931000-memory.dmp	xmrig
behavioral2/memory/3332-2050-0x00007FF6E6BA0000-0x00007FF6E6F91000-memory.dmp	xmrig
behavioral2/memory/4408-2048-0x00007FF761790000-0x00007FF761B81000-memory.dmp	xmrig
behavioral2/memory/1468-2072-0x00007FF6FCD00000-0x00007FF6FD0F1000-memory.dmp	xmrig
behavioral2/memory/904-2074-0x00007FF7AAD00000-0x00007FF7AB0F1000-memory.dmp	xmrig
behavioral2/memory/2840-2070-0x00007FF723B00000-0x00007FF723EF1000-memory.dmp	xmrig
behavioral2/memory/4864-2068-0x00007FF755740000-0x00007FF755B31000-memory.dmp	xmrig
behavioral2/memory/4580-2066-0x00007FF6B59B0000-0x00007FF6B5DA1000-memory.dmp	xmrig
behavioral2/memory/4880-2064-0x00007FF61C4E0000-0x00007FF61C8D1000-memory.dmp	xmrig
behavioral2/memory/1712-2062-0x00007FF7A8B30000-0x00007FF7A8F21000-memory.dmp	xmrig
behavioral2/memory/1976-2056-0x00007FF7C7F60000-0x00007FF7C8351000-memory.dmp	xmrig
behavioral2/memory/2764-2054-0x00007FF71F480000-0x00007FF71F871000-memory.dmp	xmrig
behavioral2/memory/3552-2060-0x00007FF6CDFD0000-0x00007FF6CE3C1000-memory.dmp	xmrig
behavioral2/memory/4872-2079-0x00007FF7E23C0000-0x00007FF7E27B1000-memory.dmp	xmrig
behavioral2/memory/1084-2090-0x00007FF616A50000-0x00007FF616E41000-memory.dmp	xmrig
behavioral2/memory/2504-2076-0x00007FF6D7DC0000-0x00007FF6D81B1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3304	JqjmGYC.exe
3536	KibNjYf.exe
1416	CLpqpow.exe
1972	XfjSgXZ.exe
3724	vFwXQoO.exe
1188	vuVPDxW.exe
1344	wuMPQIZ.exe
4408	atMZJKE.exe
3332	UstfaOu.exe
3336	jWEXAIa.exe
1976	BNnBBHH.exe
2764	PCUPfdb.exe
3576	cYkHEOg.exe
3552	fsFMhJj.exe
1712	hbxieCg.exe
4880	OqJJAvi.exe
4580	InXTvkT.exe
4864	GcOFkNQ.exe
2840	rBMKtIR.exe
1468	ETRpQSp.exe
904	yDmQntI.exe
2504	gzTGTTO.exe
4872	qPFMDRn.exe
1084	ivVOpsO.exe
3020	EkwKDGw.exe
4192	nkIkKCY.exe
1960	vxpsshI.exe
1272	bREXAev.exe
4560	UTyqHWf.exe
3560	xQSADOs.exe
2612	hkEuSZG.exe
3592	eFNwnTE.exe
4024	ZCQzkKK.exe
4044	hXvxZUw.exe
1952	DvMAXrs.exe
4832	msCDjbY.exe
4632	OFSHaOv.exe
4576	eWtjNxt.exe
844	HqtvlOf.exe
2928	WDKlBVt.exe
4264	EJSRTpS.exe
1184	OlQPTAm.exe
4636	CNdjpst.exe
1984	WZRqLsV.exe
2620	ZwFcuOK.exe
3004	xJxrPnN.exe
3232	ahXehkA.exe
4512	HPkljRi.exe
2960	MnCUssV.exe
4688	ZboeMMR.exe
5056	NcGinIq.exe
3300	YIeAvJc.exe
1524	oHfGXoM.exe
556	LLZyhgz.exe
3556	mVQvcoJ.exe
3100	NuheYLn.exe
2084	uktdOTF.exe
4792	sQZAqOi.exe
2044	HXwbyPE.exe
2984	hARGiDy.exe
2920	lMNrYTQ.exe
3036	kwvNURd.exe
4212	WhcKUFx.exe
4320	iSeWxLD.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/316-0-0x00007FF77DA10000-0x00007FF77DE01000-memory.dmp	upx
behavioral2/files/0x000800000002356a-9.dat	upx
behavioral2/files/0x000700000002356e-8.dat	upx
behavioral2/memory/3304-13-0x00007FF616E10000-0x00007FF617201000-memory.dmp	upx
behavioral2/files/0x0007000000023570-23.dat	upx
behavioral2/files/0x0007000000023571-32.dat	upx
behavioral2/files/0x0007000000023573-36.dat	upx
behavioral2/memory/1972-43-0x00007FF7279E0000-0x00007FF727DD1000-memory.dmp	upx
behavioral2/files/0x0007000000023574-48.dat	upx
behavioral2/files/0x0007000000023575-53.dat	upx
behavioral2/files/0x0007000000023576-59.dat	upx
behavioral2/files/0x0007000000023578-66.dat	upx
behavioral2/files/0x0007000000023579-71.dat	upx
behavioral2/files/0x000700000002357a-78.dat	upx
behavioral2/files/0x000700000002357b-83.dat	upx
behavioral2/files/0x000700000002357d-93.dat	upx
behavioral2/files/0x000700000002357f-101.dat	upx
behavioral2/files/0x0007000000023584-128.dat	upx
behavioral2/files/0x0007000000023586-139.dat	upx
behavioral2/files/0x0007000000023589-151.dat	upx
behavioral2/files/0x000700000002358b-161.dat	upx
behavioral2/memory/3332-379-0x00007FF6E6BA0000-0x00007FF6E6F91000-memory.dmp	upx
behavioral2/memory/4408-378-0x00007FF761790000-0x00007FF761B81000-memory.dmp	upx
behavioral2/files/0x000700000002358c-168.dat	upx
behavioral2/files/0x000700000002358a-158.dat	upx
behavioral2/files/0x0007000000023588-149.dat	upx
behavioral2/files/0x0007000000023587-143.dat	upx
behavioral2/files/0x0007000000023585-133.dat	upx
behavioral2/files/0x0007000000023583-123.dat	upx
behavioral2/files/0x0007000000023582-118.dat	upx
behavioral2/files/0x0007000000023581-114.dat	upx
behavioral2/files/0x0007000000023580-108.dat	upx
behavioral2/files/0x000700000002357e-98.dat	upx
behavioral2/files/0x000700000002357c-88.dat	upx
behavioral2/files/0x0007000000023577-63.dat	upx
behavioral2/memory/1344-45-0x00007FF699E30000-0x00007FF69A221000-memory.dmp	upx
behavioral2/memory/1188-39-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp	upx
behavioral2/memory/3724-38-0x00007FF703190000-0x00007FF703581000-memory.dmp	upx
behavioral2/memory/1416-35-0x00007FF6B2520000-0x00007FF6B2911000-memory.dmp	upx
behavioral2/files/0x0007000000023572-34.dat	upx
behavioral2/memory/3536-18-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp	upx
behavioral2/files/0x000700000002356f-15.dat	upx
behavioral2/memory/3336-380-0x00007FF627740000-0x00007FF627B31000-memory.dmp	upx
behavioral2/memory/1976-381-0x00007FF7C7F60000-0x00007FF7C8351000-memory.dmp	upx
behavioral2/memory/3576-383-0x00007FF7BD540000-0x00007FF7BD931000-memory.dmp	upx
behavioral2/memory/3552-384-0x00007FF6CDFD0000-0x00007FF6CE3C1000-memory.dmp	upx
behavioral2/memory/4880-386-0x00007FF61C4E0000-0x00007FF61C8D1000-memory.dmp	upx
behavioral2/memory/4864-388-0x00007FF755740000-0x00007FF755B31000-memory.dmp	upx
behavioral2/memory/2840-389-0x00007FF723B00000-0x00007FF723EF1000-memory.dmp	upx
behavioral2/memory/4580-387-0x00007FF6B59B0000-0x00007FF6B5DA1000-memory.dmp	upx
behavioral2/memory/1712-385-0x00007FF7A8B30000-0x00007FF7A8F21000-memory.dmp	upx
behavioral2/memory/2764-382-0x00007FF71F480000-0x00007FF71F871000-memory.dmp	upx
behavioral2/memory/1468-390-0x00007FF6FCD00000-0x00007FF6FD0F1000-memory.dmp	upx
behavioral2/memory/904-391-0x00007FF7AAD00000-0x00007FF7AB0F1000-memory.dmp	upx
behavioral2/memory/2504-392-0x00007FF6D7DC0000-0x00007FF6D81B1000-memory.dmp	upx
behavioral2/memory/4872-399-0x00007FF7E23C0000-0x00007FF7E27B1000-memory.dmp	upx
behavioral2/memory/1084-405-0x00007FF616A50000-0x00007FF616E41000-memory.dmp	upx
behavioral2/memory/3304-1993-0x00007FF616E10000-0x00007FF617201000-memory.dmp	upx
behavioral2/memory/3536-1994-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp	upx
behavioral2/memory/1188-2027-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp	upx
behavioral2/memory/316-2029-0x00007FF77DA10000-0x00007FF77DE01000-memory.dmp	upx
behavioral2/memory/3304-2034-0x00007FF616E10000-0x00007FF617201000-memory.dmp	upx
behavioral2/memory/1416-2036-0x00007FF6B2520000-0x00007FF6B2911000-memory.dmp	upx
behavioral2/memory/1972-2040-0x00007FF7279E0000-0x00007FF727DD1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\iUkvskH.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\mhqMthj.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\BxXVuxP.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\OHyJxMx.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\OywDqWY.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\BFPSILk.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\oUBUswq.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\uEQyGkp.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\JaJcQpc.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\yioZruF.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ShfHdWI.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ipeVhqW.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\EBFaUTc.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ggmXZUq.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\YBWpmgu.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ICzETLA.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\aYWqJJB.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\SYRtnNY.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\PtBxujC.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\QwkFNEQ.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\LAvFDwn.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\bJKyUJH.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ApoVnWe.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\LGbzsFs.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\BLqquoB.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ITAhwdr.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\eYpLNvS.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ymaQZnW.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\LYqkohd.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\dFiCBWn.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\Edpxdyx.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\EKTqBXm.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\qmfqeHh.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\DvMAXrs.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\cfXSQvE.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\sAutLjd.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\FaVvrIE.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\AnvdcFq.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\Bsvmycg.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\zKRadMS.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\VRUgLHP.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\HpzzWYJ.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\wcaLsDq.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\qTyBbhN.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\ngyeIwT.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\tEVqsLp.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\gDArzGW.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\OXMOgsm.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\PdXoHWi.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\NuheYLn.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\mDMXqoj.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\JhimTmT.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\QyXynkh.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\Amoscts.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\VXnFvIr.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\mJmbjxn.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\FOjifri.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\hbxieCg.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\OFSHaOv.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\onjbysq.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\UXnhCKl.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\WmXtrak.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\IsLOaSX.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
File created	C:\Windows\System32\uXVJogZ.exe	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	4396	dwm.exe
Token: SeChangeNotifyPrivilege	4396	dwm.exe
Token: 33	4396	dwm.exe
Token: SeIncBasePriorityPrivilege	4396	dwm.exe
Token: SeShutdownPrivilege	4396	dwm.exe
Token: SeCreatePagefilePrivilege	4396	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 316 wrote to memory of 3304	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	83
PID 316 wrote to memory of 3304	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	83
PID 316 wrote to memory of 3536	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	84
PID 316 wrote to memory of 3536	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	84
PID 316 wrote to memory of 1416	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	85
PID 316 wrote to memory of 1416	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	85
PID 316 wrote to memory of 1972	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	86
PID 316 wrote to memory of 1972	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	86
PID 316 wrote to memory of 3724	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	87
PID 316 wrote to memory of 3724	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	87
PID 316 wrote to memory of 1188	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	88
PID 316 wrote to memory of 1188	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	88
PID 316 wrote to memory of 1344	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	89
PID 316 wrote to memory of 1344	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	89
PID 316 wrote to memory of 4408	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	90
PID 316 wrote to memory of 4408	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	90
PID 316 wrote to memory of 3332	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	91
PID 316 wrote to memory of 3332	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	91
PID 316 wrote to memory of 3336	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	92
PID 316 wrote to memory of 3336	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	92
PID 316 wrote to memory of 1976	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	93
PID 316 wrote to memory of 1976	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	93
PID 316 wrote to memory of 2764	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	94
PID 316 wrote to memory of 2764	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	94
PID 316 wrote to memory of 3576	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	95
PID 316 wrote to memory of 3576	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	95
PID 316 wrote to memory of 3552	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	96
PID 316 wrote to memory of 3552	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	96
PID 316 wrote to memory of 1712	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	97
PID 316 wrote to memory of 1712	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	97
PID 316 wrote to memory of 4880	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	98
PID 316 wrote to memory of 4880	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	98
PID 316 wrote to memory of 4580	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	99
PID 316 wrote to memory of 4580	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	99
PID 316 wrote to memory of 4864	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	100
PID 316 wrote to memory of 4864	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	100
PID 316 wrote to memory of 2840	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	101
PID 316 wrote to memory of 2840	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	101
PID 316 wrote to memory of 1468	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	102
PID 316 wrote to memory of 1468	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	102
PID 316 wrote to memory of 904	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	103
PID 316 wrote to memory of 904	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	103
PID 316 wrote to memory of 2504	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	104
PID 316 wrote to memory of 2504	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	104
PID 316 wrote to memory of 4872	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	105
PID 316 wrote to memory of 4872	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	105
PID 316 wrote to memory of 1084	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	106
PID 316 wrote to memory of 1084	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	106
PID 316 wrote to memory of 3020	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	107
PID 316 wrote to memory of 3020	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	107
PID 316 wrote to memory of 4192	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	108
PID 316 wrote to memory of 4192	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	108
PID 316 wrote to memory of 1960	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	109
PID 316 wrote to memory of 1960	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	109
PID 316 wrote to memory of 1272	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	110
PID 316 wrote to memory of 1272	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	110
PID 316 wrote to memory of 4560	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	111
PID 316 wrote to memory of 4560	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	111
PID 316 wrote to memory of 3560	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	112
PID 316 wrote to memory of 3560	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	112
PID 316 wrote to memory of 2612	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	113
PID 316 wrote to memory of 2612	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	113
PID 316 wrote to memory of 3592	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	114
PID 316 wrote to memory of 3592	316	3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe	114

C:\Users\Admin\AppData\Local\Temp\3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\3ed04d7cb3ca432fe162380ecbf103d91fe48340c74526527a3c812d43bd9147_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:316
- C:\Windows\System32\JqjmGYC.exe
  C:\Windows\System32\JqjmGYC.exe
  2⤵
  - Executes dropped EXE
  PID:3304
- C:\Windows\System32\KibNjYf.exe
  C:\Windows\System32\KibNjYf.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\CLpqpow.exe
  C:\Windows\System32\CLpqpow.exe
  2⤵
  - Executes dropped EXE
  PID:1416
- C:\Windows\System32\XfjSgXZ.exe
  C:\Windows\System32\XfjSgXZ.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\vFwXQoO.exe
  C:\Windows\System32\vFwXQoO.exe
  2⤵
  - Executes dropped EXE
  PID:3724
- C:\Windows\System32\vuVPDxW.exe
  C:\Windows\System32\vuVPDxW.exe
  2⤵
  - Executes dropped EXE
  PID:1188
- C:\Windows\System32\wuMPQIZ.exe
  C:\Windows\System32\wuMPQIZ.exe
  2⤵
  - Executes dropped EXE
  PID:1344
- C:\Windows\System32\atMZJKE.exe
  C:\Windows\System32\atMZJKE.exe
  2⤵
  - Executes dropped EXE
  PID:4408
- C:\Windows\System32\UstfaOu.exe
  C:\Windows\System32\UstfaOu.exe
  2⤵
  - Executes dropped EXE
  PID:3332
- C:\Windows\System32\jWEXAIa.exe
  C:\Windows\System32\jWEXAIa.exe
  2⤵
  - Executes dropped EXE
  PID:3336
- C:\Windows\System32\BNnBBHH.exe
  C:\Windows\System32\BNnBBHH.exe
  2⤵
  - Executes dropped EXE
  PID:1976
- C:\Windows\System32\PCUPfdb.exe
  C:\Windows\System32\PCUPfdb.exe
  2⤵
  - Executes dropped EXE
  PID:2764
- C:\Windows\System32\cYkHEOg.exe
  C:\Windows\System32\cYkHEOg.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\fsFMhJj.exe
  C:\Windows\System32\fsFMhJj.exe
  2⤵
  - Executes dropped EXE
  PID:3552
- C:\Windows\System32\hbxieCg.exe
  C:\Windows\System32\hbxieCg.exe
  2⤵
  - Executes dropped EXE
  PID:1712
- C:\Windows\System32\OqJJAvi.exe
  C:\Windows\System32\OqJJAvi.exe
  2⤵
  - Executes dropped EXE
  PID:4880
- C:\Windows\System32\InXTvkT.exe
  C:\Windows\System32\InXTvkT.exe
  2⤵
  - Executes dropped EXE
  PID:4580
- C:\Windows\System32\GcOFkNQ.exe
  C:\Windows\System32\GcOFkNQ.exe
  2⤵
  - Executes dropped EXE
  PID:4864
- C:\Windows\System32\rBMKtIR.exe
  C:\Windows\System32\rBMKtIR.exe
  2⤵
  - Executes dropped EXE
  PID:2840
- C:\Windows\System32\ETRpQSp.exe
  C:\Windows\System32\ETRpQSp.exe
  2⤵
  - Executes dropped EXE
  PID:1468
- C:\Windows\System32\yDmQntI.exe
  C:\Windows\System32\yDmQntI.exe
  2⤵
  - Executes dropped EXE
  PID:904
- C:\Windows\System32\gzTGTTO.exe
  C:\Windows\System32\gzTGTTO.exe
  2⤵
  - Executes dropped EXE
  PID:2504
- C:\Windows\System32\qPFMDRn.exe
  C:\Windows\System32\qPFMDRn.exe
  2⤵
  - Executes dropped EXE
  PID:4872
- C:\Windows\System32\ivVOpsO.exe
  C:\Windows\System32\ivVOpsO.exe
  2⤵
  - Executes dropped EXE
  PID:1084
- C:\Windows\System32\EkwKDGw.exe
  C:\Windows\System32\EkwKDGw.exe
  2⤵
  - Executes dropped EXE
  PID:3020
- C:\Windows\System32\nkIkKCY.exe
  C:\Windows\System32\nkIkKCY.exe
  2⤵
  - Executes dropped EXE
  PID:4192
- C:\Windows\System32\vxpsshI.exe
  C:\Windows\System32\vxpsshI.exe
  2⤵
  - Executes dropped EXE
  PID:1960
- C:\Windows\System32\bREXAev.exe
  C:\Windows\System32\bREXAev.exe
  2⤵
  - Executes dropped EXE
  PID:1272
- C:\Windows\System32\UTyqHWf.exe
  C:\Windows\System32\UTyqHWf.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\xQSADOs.exe
  C:\Windows\System32\xQSADOs.exe
  2⤵
  - Executes dropped EXE
  PID:3560
- C:\Windows\System32\hkEuSZG.exe
  C:\Windows\System32\hkEuSZG.exe
  2⤵
  - Executes dropped EXE
  PID:2612
- C:\Windows\System32\eFNwnTE.exe
  C:\Windows\System32\eFNwnTE.exe
  2⤵
  - Executes dropped EXE
  PID:3592
- C:\Windows\System32\ZCQzkKK.exe
  C:\Windows\System32\ZCQzkKK.exe
  2⤵
  - Executes dropped EXE
  PID:4024
- C:\Windows\System32\hXvxZUw.exe
  C:\Windows\System32\hXvxZUw.exe
  2⤵
  - Executes dropped EXE
  PID:4044
- C:\Windows\System32\DvMAXrs.exe
  C:\Windows\System32\DvMAXrs.exe
  2⤵
  - Executes dropped EXE
  PID:1952
- C:\Windows\System32\msCDjbY.exe
  C:\Windows\System32\msCDjbY.exe
  2⤵
  - Executes dropped EXE
  PID:4832
- C:\Windows\System32\OFSHaOv.exe
  C:\Windows\System32\OFSHaOv.exe
  2⤵
  - Executes dropped EXE
  PID:4632
- C:\Windows\System32\eWtjNxt.exe
  C:\Windows\System32\eWtjNxt.exe
  2⤵
  - Executes dropped EXE
  PID:4576
- C:\Windows\System32\HqtvlOf.exe
  C:\Windows\System32\HqtvlOf.exe
  2⤵
  - Executes dropped EXE
  PID:844
- C:\Windows\System32\WDKlBVt.exe
  C:\Windows\System32\WDKlBVt.exe
  2⤵
  - Executes dropped EXE
  PID:2928
- C:\Windows\System32\EJSRTpS.exe
  C:\Windows\System32\EJSRTpS.exe
  2⤵
  - Executes dropped EXE
  PID:4264
- C:\Windows\System32\OlQPTAm.exe
  C:\Windows\System32\OlQPTAm.exe
  2⤵
  - Executes dropped EXE
  PID:1184
- C:\Windows\System32\CNdjpst.exe
  C:\Windows\System32\CNdjpst.exe
  2⤵
  - Executes dropped EXE
  PID:4636
- C:\Windows\System32\WZRqLsV.exe
  C:\Windows\System32\WZRqLsV.exe
  2⤵
  - Executes dropped EXE
  PID:1984
- C:\Windows\System32\ZwFcuOK.exe
  C:\Windows\System32\ZwFcuOK.exe
  2⤵
  - Executes dropped EXE
  PID:2620
- C:\Windows\System32\xJxrPnN.exe
  C:\Windows\System32\xJxrPnN.exe
  2⤵
  - Executes dropped EXE
  PID:3004
- C:\Windows\System32\ahXehkA.exe
  C:\Windows\System32\ahXehkA.exe
  2⤵
  - Executes dropped EXE
  PID:3232
- C:\Windows\System32\HPkljRi.exe
  C:\Windows\System32\HPkljRi.exe
  2⤵
  - Executes dropped EXE
  PID:4512
- C:\Windows\System32\MnCUssV.exe
  C:\Windows\System32\MnCUssV.exe
  2⤵
  - Executes dropped EXE
  PID:2960
- C:\Windows\System32\ZboeMMR.exe
  C:\Windows\System32\ZboeMMR.exe
  2⤵
  - Executes dropped EXE
  PID:4688
- C:\Windows\System32\NcGinIq.exe
  C:\Windows\System32\NcGinIq.exe
  2⤵
  - Executes dropped EXE
  PID:5056
- C:\Windows\System32\YIeAvJc.exe
  C:\Windows\System32\YIeAvJc.exe
  2⤵
  - Executes dropped EXE
  PID:3300
- C:\Windows\System32\oHfGXoM.exe
  C:\Windows\System32\oHfGXoM.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\LLZyhgz.exe
  C:\Windows\System32\LLZyhgz.exe
  2⤵
  - Executes dropped EXE
  PID:556
- C:\Windows\System32\mVQvcoJ.exe
  C:\Windows\System32\mVQvcoJ.exe
  2⤵
  - Executes dropped EXE
  PID:3556
- C:\Windows\System32\NuheYLn.exe
  C:\Windows\System32\NuheYLn.exe
  2⤵
  - Executes dropped EXE
  PID:3100
- C:\Windows\System32\uktdOTF.exe
  C:\Windows\System32\uktdOTF.exe
  2⤵
  - Executes dropped EXE
  PID:2084
- C:\Windows\System32\sQZAqOi.exe
  C:\Windows\System32\sQZAqOi.exe
  2⤵
  - Executes dropped EXE
  PID:4792
- C:\Windows\System32\HXwbyPE.exe
  C:\Windows\System32\HXwbyPE.exe
  2⤵
  - Executes dropped EXE
  PID:2044
- C:\Windows\System32\hARGiDy.exe
  C:\Windows\System32\hARGiDy.exe
  2⤵
  - Executes dropped EXE
  PID:2984
- C:\Windows\System32\lMNrYTQ.exe
  C:\Windows\System32\lMNrYTQ.exe
  2⤵
  - Executes dropped EXE
  PID:2920
- C:\Windows\System32\kwvNURd.exe
  C:\Windows\System32\kwvNURd.exe
  2⤵
  - Executes dropped EXE
  PID:3036
- C:\Windows\System32\WhcKUFx.exe
  C:\Windows\System32\WhcKUFx.exe
  2⤵
  - Executes dropped EXE
  PID:4212
- C:\Windows\System32\iSeWxLD.exe
  C:\Windows\System32\iSeWxLD.exe
  2⤵
  - Executes dropped EXE
  PID:4320
- C:\Windows\System32\ynJNlhY.exe
  C:\Windows\System32\ynJNlhY.exe
  2⤵
  PID:332
- C:\Windows\System32\cJNvcsW.exe
  C:\Windows\System32\cJNvcsW.exe
  2⤵
  PID:2528
- C:\Windows\System32\FMBRkOt.exe
  C:\Windows\System32\FMBRkOt.exe
  2⤵
  PID:4704
- C:\Windows\System32\ylhOpTV.exe
  C:\Windows\System32\ylhOpTV.exe
  2⤵
  PID:1760
- C:\Windows\System32\DlilZQs.exe
  C:\Windows\System32\DlilZQs.exe
  2⤵
  PID:4332
- C:\Windows\System32\ZalMIIh.exe
  C:\Windows\System32\ZalMIIh.exe
  2⤵
  PID:4356
- C:\Windows\System32\KJkAJTi.exe
  C:\Windows\System32\KJkAJTi.exe
  2⤵
  PID:2736
- C:\Windows\System32\kGMAanJ.exe
  C:\Windows\System32\kGMAanJ.exe
  2⤵
  PID:1516
- C:\Windows\System32\mqTCRWF.exe
  C:\Windows\System32\mqTCRWF.exe
  2⤵
  PID:3844
- C:\Windows\System32\uJQaoCc.exe
  C:\Windows\System32\uJQaoCc.exe
  2⤵
  PID:4800
- C:\Windows\System32\XAgyaFi.exe
  C:\Windows\System32\XAgyaFi.exe
  2⤵
  PID:3784
- C:\Windows\System32\CXxVJuc.exe
  C:\Windows\System32\CXxVJuc.exe
  2⤵
  PID:4752
- C:\Windows\System32\agPaPcT.exe
  C:\Windows\System32\agPaPcT.exe
  2⤵
  PID:5068
- C:\Windows\System32\xMFoRjq.exe
  C:\Windows\System32\xMFoRjq.exe
  2⤵
  PID:3248
- C:\Windows\System32\OZDZpkg.exe
  C:\Windows\System32\OZDZpkg.exe
  2⤵
  PID:4504
- C:\Windows\System32\NudMOCr.exe
  C:\Windows\System32\NudMOCr.exe
  2⤵
  PID:4052
- C:\Windows\System32\XdWVfbQ.exe
  C:\Windows\System32\XdWVfbQ.exe
  2⤵
  PID:2296
- C:\Windows\System32\pRPTcbA.exe
  C:\Windows\System32\pRPTcbA.exe
  2⤵
  PID:1504
- C:\Windows\System32\hadapzN.exe
  C:\Windows\System32\hadapzN.exe
  2⤵
  PID:2656
- C:\Windows\System32\fwtOFey.exe
  C:\Windows\System32\fwtOFey.exe
  2⤵
  PID:5144
- C:\Windows\System32\abLgWqO.exe
  C:\Windows\System32\abLgWqO.exe
  2⤵
  PID:5172
- C:\Windows\System32\sYsRQrA.exe
  C:\Windows\System32\sYsRQrA.exe
  2⤵
  PID:5200
- C:\Windows\System32\goPRmAJ.exe
  C:\Windows\System32\goPRmAJ.exe
  2⤵
  PID:5228
- C:\Windows\System32\Eegohkl.exe
  C:\Windows\System32\Eegohkl.exe
  2⤵
  PID:5256
- C:\Windows\System32\YoEhUhD.exe
  C:\Windows\System32\YoEhUhD.exe
  2⤵
  PID:5284
- C:\Windows\System32\nJQGmTE.exe
  C:\Windows\System32\nJQGmTE.exe
  2⤵
  PID:5312
- C:\Windows\System32\LmpJWSq.exe
  C:\Windows\System32\LmpJWSq.exe
  2⤵
  PID:5340
- C:\Windows\System32\NoHAgao.exe
  C:\Windows\System32\NoHAgao.exe
  2⤵
  PID:5368
- C:\Windows\System32\rQUshmj.exe
  C:\Windows\System32\rQUshmj.exe
  2⤵
  PID:5396
- C:\Windows\System32\KObPxPv.exe
  C:\Windows\System32\KObPxPv.exe
  2⤵
  PID:5424
- C:\Windows\System32\onjbysq.exe
  C:\Windows\System32\onjbysq.exe
  2⤵
  PID:5452
- C:\Windows\System32\laThMmu.exe
  C:\Windows\System32\laThMmu.exe
  2⤵
  PID:5480
- C:\Windows\System32\EbCVTcR.exe
  C:\Windows\System32\EbCVTcR.exe
  2⤵
  PID:5508
- C:\Windows\System32\voaTGqA.exe
  C:\Windows\System32\voaTGqA.exe
  2⤵
  PID:5536
- C:\Windows\System32\mKQDKHe.exe
  C:\Windows\System32\mKQDKHe.exe
  2⤵
  PID:5572
- C:\Windows\System32\TuvrkAY.exe
  C:\Windows\System32\TuvrkAY.exe
  2⤵
  PID:5592
- C:\Windows\System32\vEDwZuc.exe
  C:\Windows\System32\vEDwZuc.exe
  2⤵
  PID:5620
- C:\Windows\System32\SytnKRL.exe
  C:\Windows\System32\SytnKRL.exe
  2⤵
  PID:5648
- C:\Windows\System32\CbyJIVa.exe
  C:\Windows\System32\CbyJIVa.exe
  2⤵
  PID:5772
- C:\Windows\System32\DtjcHwn.exe
  C:\Windows\System32\DtjcHwn.exe
  2⤵
  PID:5792
- C:\Windows\System32\qVZpIJo.exe
  C:\Windows\System32\qVZpIJo.exe
  2⤵
  PID:5816
- C:\Windows\System32\iXeXJfj.exe
  C:\Windows\System32\iXeXJfj.exe
  2⤵
  PID:5836
- C:\Windows\System32\XXYStub.exe
  C:\Windows\System32\XXYStub.exe
  2⤵
  PID:5852
- C:\Windows\System32\eYHVaQc.exe
  C:\Windows\System32\eYHVaQc.exe
  2⤵
  PID:5892
- C:\Windows\System32\PgDvCye.exe
  C:\Windows\System32\PgDvCye.exe
  2⤵
  PID:5976
- C:\Windows\System32\vYlQYYe.exe
  C:\Windows\System32\vYlQYYe.exe
  2⤵
  PID:5992
- C:\Windows\System32\qHRAvaw.exe
  C:\Windows\System32\qHRAvaw.exe
  2⤵
  PID:6016
- C:\Windows\System32\YmRKwwN.exe
  C:\Windows\System32\YmRKwwN.exe
  2⤵
  PID:6056
- C:\Windows\System32\JFMVckD.exe
  C:\Windows\System32\JFMVckD.exe
  2⤵
  PID:6072
- C:\Windows\System32\TFSzcxq.exe
  C:\Windows\System32\TFSzcxq.exe
  2⤵
  PID:6112
- C:\Windows\System32\zvLCLpr.exe
  C:\Windows\System32\zvLCLpr.exe
  2⤵
  PID:6140
- C:\Windows\System32\lCBUYqx.exe
  C:\Windows\System32\lCBUYqx.exe
  2⤵
  PID:412
- C:\Windows\System32\BiWZhdi.exe
  C:\Windows\System32\BiWZhdi.exe
  2⤵
  PID:4336
- C:\Windows\System32\lglwqOZ.exe
  C:\Windows\System32\lglwqOZ.exe
  2⤵
  PID:1488
- C:\Windows\System32\VYvxkRU.exe
  C:\Windows\System32\VYvxkRU.exe
  2⤵
  PID:5188
- C:\Windows\System32\XSVYhtq.exe
  C:\Windows\System32\XSVYhtq.exe
  2⤵
  PID:5244
- C:\Windows\System32\bfSlxCD.exe
  C:\Windows\System32\bfSlxCD.exe
  2⤵
  PID:5264
- C:\Windows\System32\CVvRwgx.exe
  C:\Windows\System32\CVvRwgx.exe
  2⤵
  PID:4912
- C:\Windows\System32\BLqquoB.exe
  C:\Windows\System32\BLqquoB.exe
  2⤵
  PID:5376
- C:\Windows\System32\shVNDWR.exe
  C:\Windows\System32\shVNDWR.exe
  2⤵
  PID:3612
- C:\Windows\System32\MmLFPZx.exe
  C:\Windows\System32\MmLFPZx.exe
  2⤵
  PID:5472
- C:\Windows\System32\twdOUUC.exe
  C:\Windows\System32\twdOUUC.exe
  2⤵
  PID:4476
- C:\Windows\System32\EVGanBZ.exe
  C:\Windows\System32\EVGanBZ.exe
  2⤵
  PID:5516
- C:\Windows\System32\neVhMGP.exe
  C:\Windows\System32\neVhMGP.exe
  2⤵
  PID:5588
- C:\Windows\System32\ngyeIwT.exe
  C:\Windows\System32\ngyeIwT.exe
  2⤵
  PID:5612
- C:\Windows\System32\qXgddJD.exe
  C:\Windows\System32\qXgddJD.exe
  2⤵
  PID:5628
- C:\Windows\System32\TFhwjGg.exe
  C:\Windows\System32\TFhwjGg.exe
  2⤵
  PID:3168
- C:\Windows\System32\tUQMWNF.exe
  C:\Windows\System32\tUQMWNF.exe
  2⤵
  PID:3828
- C:\Windows\System32\iudbnIc.exe
  C:\Windows\System32\iudbnIc.exe
  2⤵
  PID:2844
- C:\Windows\System32\wqkLYGI.exe
  C:\Windows\System32\wqkLYGI.exe
  2⤵
  PID:1772
- C:\Windows\System32\GgfjZeA.exe
  C:\Windows\System32\GgfjZeA.exe
  2⤵
  PID:5688
- C:\Windows\System32\ECxzZNI.exe
  C:\Windows\System32\ECxzZNI.exe
  2⤵
  PID:5020
- C:\Windows\System32\cZwifNp.exe
  C:\Windows\System32\cZwifNp.exe
  2⤵
  PID:5800
- C:\Windows\System32\PeXIppM.exe
  C:\Windows\System32\PeXIppM.exe
  2⤵
  PID:5844
- C:\Windows\System32\JhAqFwz.exe
  C:\Windows\System32\JhAqFwz.exe
  2⤵
  PID:888
- C:\Windows\System32\SgopeZp.exe
  C:\Windows\System32\SgopeZp.exe
  2⤵
  PID:1676
- C:\Windows\System32\kGJZTes.exe
  C:\Windows\System32\kGJZTes.exe
  2⤵
  PID:5940
- C:\Windows\System32\oFGqUbF.exe
  C:\Windows\System32\oFGqUbF.exe
  2⤵
  PID:5728
- C:\Windows\System32\VfUangZ.exe
  C:\Windows\System32\VfUangZ.exe
  2⤵
  PID:5736
- C:\Windows\System32\nEUqmZZ.exe
  C:\Windows\System32\nEUqmZZ.exe
  2⤵
  PID:6064
- C:\Windows\System32\nTDMiwV.exe
  C:\Windows\System32\nTDMiwV.exe
  2⤵
  PID:2544
- C:\Windows\System32\rYxjlSD.exe
  C:\Windows\System32\rYxjlSD.exe
  2⤵
  PID:1384
- C:\Windows\System32\eKCyCik.exe
  C:\Windows\System32\eKCyCik.exe
  2⤵
  PID:4592
- C:\Windows\System32\PKnFUkP.exe
  C:\Windows\System32\PKnFUkP.exe
  2⤵
  PID:5384
- C:\Windows\System32\EyMIDvH.exe
  C:\Windows\System32\EyMIDvH.exe
  2⤵
  PID:5460
- C:\Windows\System32\CirGlSu.exe
  C:\Windows\System32\CirGlSu.exe
  2⤵
  PID:2304
- C:\Windows\System32\XNbTAxW.exe
  C:\Windows\System32\XNbTAxW.exe
  2⤵
  PID:5700
- C:\Windows\System32\FDAyPPV.exe
  C:\Windows\System32\FDAyPPV.exe
  2⤵
  PID:2292
- C:\Windows\System32\qJeRwaH.exe
  C:\Windows\System32\qJeRwaH.exe
  2⤵
  PID:3736
- C:\Windows\System32\XZPUsRu.exe
  C:\Windows\System32\XZPUsRu.exe
  2⤵
  PID:2496
- C:\Windows\System32\DaKxdUG.exe
  C:\Windows\System32\DaKxdUG.exe
  2⤵
  PID:5880
- C:\Windows\System32\obEfiYJ.exe
  C:\Windows\System32\obEfiYJ.exe
  2⤵
  PID:5936
- C:\Windows\System32\OTGFtHW.exe
  C:\Windows\System32\OTGFtHW.exe
  2⤵
  PID:5724
- C:\Windows\System32\xZaQphu.exe
  C:\Windows\System32\xZaQphu.exe
  2⤵
  PID:816
- C:\Windows\System32\djsqlOK.exe
  C:\Windows\System32\djsqlOK.exe
  2⤵
  PID:5440
- C:\Windows\System32\DFgOCqR.exe
  C:\Windows\System32\DFgOCqR.exe
  2⤵
  PID:5412
- C:\Windows\System32\ARNgUxL.exe
  C:\Windows\System32\ARNgUxL.exe
  2⤵
  PID:5100
- C:\Windows\System32\ITAhwdr.exe
  C:\Windows\System32\ITAhwdr.exe
  2⤵
  PID:924
- C:\Windows\System32\gEcurNa.exe
  C:\Windows\System32\gEcurNa.exe
  2⤵
  PID:5764
- C:\Windows\System32\RhxsNgs.exe
  C:\Windows\System32\RhxsNgs.exe
  2⤵
  PID:5208
- C:\Windows\System32\jJMMKCw.exe
  C:\Windows\System32\jJMMKCw.exe
  2⤵
  PID:6160
- C:\Windows\System32\UDCYlIC.exe
  C:\Windows\System32\UDCYlIC.exe
  2⤵
  PID:6224
- C:\Windows\System32\ipeVhqW.exe
  C:\Windows\System32\ipeVhqW.exe
  2⤵
  PID:6244
- C:\Windows\System32\Xicjfsn.exe
  C:\Windows\System32\Xicjfsn.exe
  2⤵
  PID:6268
- C:\Windows\System32\tuzOMLt.exe
  C:\Windows\System32\tuzOMLt.exe
  2⤵
  PID:6292
- C:\Windows\System32\NvIzUOC.exe
  C:\Windows\System32\NvIzUOC.exe
  2⤵
  PID:6328
- C:\Windows\System32\qTOkaxL.exe
  C:\Windows\System32\qTOkaxL.exe
  2⤵
  PID:6356
- C:\Windows\System32\aMXFArb.exe
  C:\Windows\System32\aMXFArb.exe
  2⤵
  PID:6376
- C:\Windows\System32\oLuWiLI.exe
  C:\Windows\System32\oLuWiLI.exe
  2⤵
  PID:6396
- C:\Windows\System32\bTXCZgP.exe
  C:\Windows\System32\bTXCZgP.exe
  2⤵
  PID:6416
- C:\Windows\System32\XesPFHZ.exe
  C:\Windows\System32\XesPFHZ.exe
  2⤵
  PID:6444
- C:\Windows\System32\IkTueLX.exe
  C:\Windows\System32\IkTueLX.exe
  2⤵
  PID:6460
- C:\Windows\System32\IvIeDGw.exe
  C:\Windows\System32\IvIeDGw.exe
  2⤵
  PID:6484
- C:\Windows\System32\BGjkKmq.exe
  C:\Windows\System32\BGjkKmq.exe
  2⤵
  PID:6500
- C:\Windows\System32\fMoGNTn.exe
  C:\Windows\System32\fMoGNTn.exe
  2⤵
  PID:6528
- C:\Windows\System32\ocHdLNm.exe
  C:\Windows\System32\ocHdLNm.exe
  2⤵
  PID:6544
- C:\Windows\System32\tEVqsLp.exe
  C:\Windows\System32\tEVqsLp.exe
  2⤵
  PID:6568
- C:\Windows\System32\tCHYCCP.exe
  C:\Windows\System32\tCHYCCP.exe
  2⤵
  PID:6588
- C:\Windows\System32\crIwUaE.exe
  C:\Windows\System32\crIwUaE.exe
  2⤵
  PID:6612
- C:\Windows\System32\EBFaUTc.exe
  C:\Windows\System32\EBFaUTc.exe
  2⤵
  PID:6656
- C:\Windows\System32\uGVBLzc.exe
  C:\Windows\System32\uGVBLzc.exe
  2⤵
  PID:6676
- C:\Windows\System32\OUZgAOr.exe
  C:\Windows\System32\OUZgAOr.exe
  2⤵
  PID:6768
- C:\Windows\System32\aSVAomI.exe
  C:\Windows\System32\aSVAomI.exe
  2⤵
  PID:6812
- C:\Windows\System32\rTThrTM.exe
  C:\Windows\System32\rTThrTM.exe
  2⤵
  PID:6832
- C:\Windows\System32\ZPcGjEl.exe
  C:\Windows\System32\ZPcGjEl.exe
  2⤵
  PID:6864
- C:\Windows\System32\EVRPmeD.exe
  C:\Windows\System32\EVRPmeD.exe
  2⤵
  PID:6880
- C:\Windows\System32\MNmsioh.exe
  C:\Windows\System32\MNmsioh.exe
  2⤵
  PID:6912
- C:\Windows\System32\eYpLNvS.exe
  C:\Windows\System32\eYpLNvS.exe
  2⤵
  PID:6952
- C:\Windows\System32\mSAQlul.exe
  C:\Windows\System32\mSAQlul.exe
  2⤵
  PID:6976
- C:\Windows\System32\KDvrEze.exe
  C:\Windows\System32\KDvrEze.exe
  2⤵
  PID:6992
- C:\Windows\System32\wrlewFJ.exe
  C:\Windows\System32\wrlewFJ.exe
  2⤵
  PID:7036
- C:\Windows\System32\CLaYLOJ.exe
  C:\Windows\System32\CLaYLOJ.exe
  2⤵
  PID:7056
- C:\Windows\System32\AvspqdW.exe
  C:\Windows\System32\AvspqdW.exe
  2⤵
  PID:7076
- C:\Windows\System32\gDArzGW.exe
  C:\Windows\System32\gDArzGW.exe
  2⤵
  PID:7100
- C:\Windows\System32\jMDjEXd.exe
  C:\Windows\System32\jMDjEXd.exe
  2⤵
  PID:7120
- C:\Windows\System32\AsiKpnF.exe
  C:\Windows\System32\AsiKpnF.exe
  2⤵
  PID:5804
- C:\Windows\System32\EYyRpzB.exe
  C:\Windows\System32\EYyRpzB.exe
  2⤵
  PID:1624
- C:\Windows\System32\QyXynkh.exe
  C:\Windows\System32\QyXynkh.exe
  2⤵
  PID:6172
- C:\Windows\System32\CpFvdDL.exe
  C:\Windows\System32\CpFvdDL.exe
  2⤵
  PID:6252
- C:\Windows\System32\zKRadMS.exe
  C:\Windows\System32\zKRadMS.exe
  2⤵
  PID:6344
- C:\Windows\System32\Amoscts.exe
  C:\Windows\System32\Amoscts.exe
  2⤵
  PID:6368
- C:\Windows\System32\IuxtLeE.exe
  C:\Windows\System32\IuxtLeE.exe
  2⤵
  PID:6456
- C:\Windows\System32\MDSkFuy.exe
  C:\Windows\System32\MDSkFuy.exe
  2⤵
  PID:6520
- C:\Windows\System32\JyEJmIe.exe
  C:\Windows\System32\JyEJmIe.exe
  2⤵
  PID:6560
- C:\Windows\System32\sKPhRjH.exe
  C:\Windows\System32\sKPhRjH.exe
  2⤵
  PID:6600
- C:\Windows\System32\kOycXhw.exe
  C:\Windows\System32\kOycXhw.exe
  2⤵
  PID:6636
- C:\Windows\System32\SMLZAiU.exe
  C:\Windows\System32\SMLZAiU.exe
  2⤵
  PID:6840
- C:\Windows\System32\gwMJvtV.exe
  C:\Windows\System32\gwMJvtV.exe
  2⤵
  PID:6848
- C:\Windows\System32\SzdIIBZ.exe
  C:\Windows\System32\SzdIIBZ.exe
  2⤵
  PID:6908
- C:\Windows\System32\QwkFNEQ.exe
  C:\Windows\System32\QwkFNEQ.exe
  2⤵
  PID:6964
- C:\Windows\System32\jbFbBIA.exe
  C:\Windows\System32\jbFbBIA.exe
  2⤵
  PID:7020
- C:\Windows\System32\mDMXqoj.exe
  C:\Windows\System32\mDMXqoj.exe
  2⤵
  PID:7068
- C:\Windows\System32\NOTqQeL.exe
  C:\Windows\System32\NOTqQeL.exe
  2⤵
  PID:7128
- C:\Windows\System32\tbbuevH.exe
  C:\Windows\System32\tbbuevH.exe
  2⤵
  PID:1404
- C:\Windows\System32\xJXppCz.exe
  C:\Windows\System32\xJXppCz.exe
  2⤵
  PID:6188
- C:\Windows\System32\ZAzkUxK.exe
  C:\Windows\System32\ZAzkUxK.exe
  2⤵
  PID:6336
- C:\Windows\System32\XlbvxUj.exe
  C:\Windows\System32\XlbvxUj.exe
  2⤵
  PID:6576
- C:\Windows\System32\gJDnRzd.exe
  C:\Windows\System32\gJDnRzd.exe
  2⤵
  PID:6824
- C:\Windows\System32\rvfXDSe.exe
  C:\Windows\System32\rvfXDSe.exe
  2⤵
  PID:6924
- C:\Windows\System32\YbWKlPm.exe
  C:\Windows\System32\YbWKlPm.exe
  2⤵
  PID:7084
- C:\Windows\System32\ibDilsR.exe
  C:\Windows\System32\ibDilsR.exe
  2⤵
  PID:988
- C:\Windows\System32\YwHqjJf.exe
  C:\Windows\System32\YwHqjJf.exe
  2⤵
  PID:6428
- C:\Windows\System32\YkoYEzp.exe
  C:\Windows\System32\YkoYEzp.exe
  2⤵
  PID:6408
- C:\Windows\System32\ZtSKYek.exe
  C:\Windows\System32\ZtSKYek.exe
  2⤵
  PID:7160
- C:\Windows\System32\fRtLwzF.exe
  C:\Windows\System32\fRtLwzF.exe
  2⤵
  PID:6776
- C:\Windows\System32\qYiTgtt.exe
  C:\Windows\System32\qYiTgtt.exe
  2⤵
  PID:7196
- C:\Windows\System32\cDIWWDZ.exe
  C:\Windows\System32\cDIWWDZ.exe
  2⤵
  PID:7216
- C:\Windows\System32\LNFBPFB.exe
  C:\Windows\System32\LNFBPFB.exe
  2⤵
  PID:7240
- C:\Windows\System32\VXnFvIr.exe
  C:\Windows\System32\VXnFvIr.exe
  2⤵
  PID:7260
- C:\Windows\System32\veOrBdX.exe
  C:\Windows\System32\veOrBdX.exe
  2⤵
  PID:7288
- C:\Windows\System32\oiReBFG.exe
  C:\Windows\System32\oiReBFG.exe
  2⤵
  PID:7312
- C:\Windows\System32\ggmXZUq.exe
  C:\Windows\System32\ggmXZUq.exe
  2⤵
  PID:7332
- C:\Windows\System32\IdMscZo.exe
  C:\Windows\System32\IdMscZo.exe
  2⤵
  PID:7380
- C:\Windows\System32\LaUeJmE.exe
  C:\Windows\System32\LaUeJmE.exe
  2⤵
  PID:7400
- C:\Windows\System32\xiKVeja.exe
  C:\Windows\System32\xiKVeja.exe
  2⤵
  PID:7424
- C:\Windows\System32\zVNeZfH.exe
  C:\Windows\System32\zVNeZfH.exe
  2⤵
  PID:7444
- C:\Windows\System32\LrPeczW.exe
  C:\Windows\System32\LrPeczW.exe
  2⤵
  PID:7472
- C:\Windows\System32\NhRQssM.exe
  C:\Windows\System32\NhRQssM.exe
  2⤵
  PID:7496
- C:\Windows\System32\LgtpAZR.exe
  C:\Windows\System32\LgtpAZR.exe
  2⤵
  PID:7520
- C:\Windows\System32\DmCIZXj.exe
  C:\Windows\System32\DmCIZXj.exe
  2⤵
  PID:7572
- C:\Windows\System32\QUkQEJP.exe
  C:\Windows\System32\QUkQEJP.exe
  2⤵
  PID:7592
- C:\Windows\System32\icrFWVd.exe
  C:\Windows\System32\icrFWVd.exe
  2⤵
  PID:7636
- C:\Windows\System32\RobtCRT.exe
  C:\Windows\System32\RobtCRT.exe
  2⤵
  PID:7668
- C:\Windows\System32\oKdzzqz.exe
  C:\Windows\System32\oKdzzqz.exe
  2⤵
  PID:7688
- C:\Windows\System32\BKXAkuS.exe
  C:\Windows\System32\BKXAkuS.exe
  2⤵
  PID:7708
- C:\Windows\System32\OmfINZu.exe
  C:\Windows\System32\OmfINZu.exe
  2⤵
  PID:7752
- C:\Windows\System32\uEQyGkp.exe
  C:\Windows\System32\uEQyGkp.exe
  2⤵
  PID:7784
- C:\Windows\System32\wNfaakX.exe
  C:\Windows\System32\wNfaakX.exe
  2⤵
  PID:7824
- C:\Windows\System32\mLajQnT.exe
  C:\Windows\System32\mLajQnT.exe
  2⤵
  PID:7844
- C:\Windows\System32\cfXSQvE.exe
  C:\Windows\System32\cfXSQvE.exe
  2⤵
  PID:7860
- C:\Windows\System32\AaEkvVJ.exe
  C:\Windows\System32\AaEkvVJ.exe
  2⤵
  PID:7880
- C:\Windows\System32\VSJhOQa.exe
  C:\Windows\System32\VSJhOQa.exe
  2⤵
  PID:7904
- C:\Windows\System32\GAxYOvQ.exe
  C:\Windows\System32\GAxYOvQ.exe
  2⤵
  PID:7936
- C:\Windows\System32\JaJcQpc.exe
  C:\Windows\System32\JaJcQpc.exe
  2⤵
  PID:7984
- C:\Windows\System32\xdtMSWc.exe
  C:\Windows\System32\xdtMSWc.exe
  2⤵
  PID:8012
- C:\Windows\System32\QruuuGJ.exe
  C:\Windows\System32\QruuuGJ.exe
  2⤵
  PID:8036
- C:\Windows\System32\RuPWHiv.exe
  C:\Windows\System32\RuPWHiv.exe
  2⤵
  PID:8060
- C:\Windows\System32\WtDdtNF.exe
  C:\Windows\System32\WtDdtNF.exe
  2⤵
  PID:8080
- C:\Windows\System32\JhimTmT.exe
  C:\Windows\System32\JhimTmT.exe
  2⤵
  PID:8120
- C:\Windows\System32\TJrkBew.exe
  C:\Windows\System32\TJrkBew.exe
  2⤵
  PID:8144
- C:\Windows\System32\VAzNCrY.exe
  C:\Windows\System32\VAzNCrY.exe
  2⤵
  PID:8172
- C:\Windows\System32\LgjDCgp.exe
  C:\Windows\System32\LgjDCgp.exe
  2⤵
  PID:8188
- C:\Windows\System32\OMCmurc.exe
  C:\Windows\System32\OMCmurc.exe
  2⤵
  PID:7192
- C:\Windows\System32\FFltwEn.exe
  C:\Windows\System32\FFltwEn.exe
  2⤵
  PID:7252
- C:\Windows\System32\YZfyidh.exe
  C:\Windows\System32\YZfyidh.exe
  2⤵
  PID:7328
- C:\Windows\System32\hkDZQDz.exe
  C:\Windows\System32\hkDZQDz.exe
  2⤵
  PID:7412
- C:\Windows\System32\JTPgdLz.exe
  C:\Windows\System32\JTPgdLz.exe
  2⤵
  PID:7456
- C:\Windows\System32\pNAHEUJ.exe
  C:\Windows\System32\pNAHEUJ.exe
  2⤵
  PID:7532
- C:\Windows\System32\OywDqWY.exe
  C:\Windows\System32\OywDqWY.exe
  2⤵
  PID:7648
- C:\Windows\System32\MTIICqH.exe
  C:\Windows\System32\MTIICqH.exe
  2⤵
  PID:7684
- C:\Windows\System32\VRUgLHP.exe
  C:\Windows\System32\VRUgLHP.exe
  2⤵
  PID:7704
- C:\Windows\System32\ejybdMa.exe
  C:\Windows\System32\ejybdMa.exe
  2⤵
  PID:7812
- C:\Windows\System32\jHObvDi.exe
  C:\Windows\System32\jHObvDi.exe
  2⤵
  PID:7856
- C:\Windows\System32\AnvdcFq.exe
  C:\Windows\System32\AnvdcFq.exe
  2⤵
  PID:7920
- C:\Windows\System32\dGOZFfy.exe
  C:\Windows\System32\dGOZFfy.exe
  2⤵
  PID:7992
- C:\Windows\System32\CVAsDBM.exe
  C:\Windows\System32\CVAsDBM.exe
  2⤵
  PID:8092
- C:\Windows\System32\hkpCOlO.exe
  C:\Windows\System32\hkpCOlO.exe
  2⤵
  PID:8088
- C:\Windows\System32\aorLeGx.exe
  C:\Windows\System32\aorLeGx.exe
  2⤵
  PID:8140
- C:\Windows\System32\HyQFbRj.exe
  C:\Windows\System32\HyQFbRj.exe
  2⤵
  PID:7212
- C:\Windows\System32\mQsCscj.exe
  C:\Windows\System32\mQsCscj.exe
  2⤵
  PID:7420
- C:\Windows\System32\wqdQfii.exe
  C:\Windows\System32\wqdQfii.exe
  2⤵
  PID:7584
- C:\Windows\System32\kRKflLk.exe
  C:\Windows\System32\kRKflLk.exe
  2⤵
  PID:7696
- C:\Windows\System32\mAJWopC.exe
  C:\Windows\System32\mAJWopC.exe
  2⤵
  PID:8032
- C:\Windows\System32\VEIONsW.exe
  C:\Windows\System32\VEIONsW.exe
  2⤵
  PID:8184
- C:\Windows\System32\cSnQWSE.exe
  C:\Windows\System32\cSnQWSE.exe
  2⤵
  PID:7296
- C:\Windows\System32\zdCnbtS.exe
  C:\Windows\System32\zdCnbtS.exe
  2⤵
  PID:7656
- C:\Windows\System32\YDIarSt.exe
  C:\Windows\System32\YDIarSt.exe
  2⤵
  PID:8020
- C:\Windows\System32\RZiirzJ.exe
  C:\Windows\System32\RZiirzJ.exe
  2⤵
  PID:7548
- C:\Windows\System32\GTyCfxA.exe
  C:\Windows\System32\GTyCfxA.exe
  2⤵
  PID:8216
- C:\Windows\System32\SCnAeRY.exe
  C:\Windows\System32\SCnAeRY.exe
  2⤵
  PID:8232
- C:\Windows\System32\uWHRaxl.exe
  C:\Windows\System32\uWHRaxl.exe
  2⤵
  PID:8264
- C:\Windows\System32\BLazEid.exe
  C:\Windows\System32\BLazEid.exe
  2⤵
  PID:8312
- C:\Windows\System32\XWtWBcJ.exe
  C:\Windows\System32\XWtWBcJ.exe
  2⤵
  PID:8336
- C:\Windows\System32\sYIizFi.exe
  C:\Windows\System32\sYIizFi.exe
  2⤵
  PID:8416
- C:\Windows\System32\CwEwEda.exe
  C:\Windows\System32\CwEwEda.exe
  2⤵
  PID:8500
- C:\Windows\System32\HpzzWYJ.exe
  C:\Windows\System32\HpzzWYJ.exe
  2⤵
  PID:8516
- C:\Windows\System32\EGruDzb.exe
  C:\Windows\System32\EGruDzb.exe
  2⤵
  PID:8532
- C:\Windows\System32\pvfHEHV.exe
  C:\Windows\System32\pvfHEHV.exe
  2⤵
  PID:8548
- C:\Windows\System32\BWKDSeD.exe
  C:\Windows\System32\BWKDSeD.exe
  2⤵
  PID:8564
- C:\Windows\System32\FIOKeYx.exe
  C:\Windows\System32\FIOKeYx.exe
  2⤵
  PID:8636
- C:\Windows\System32\QXzbBPT.exe
  C:\Windows\System32\QXzbBPT.exe
  2⤵
  PID:8652
- C:\Windows\System32\FTfkgmg.exe
  C:\Windows\System32\FTfkgmg.exe
  2⤵
  PID:8668
- C:\Windows\System32\NqmMYIh.exe
  C:\Windows\System32\NqmMYIh.exe
  2⤵
  PID:8684
- C:\Windows\System32\gKYBPwZ.exe
  C:\Windows\System32\gKYBPwZ.exe
  2⤵
  PID:8700
- C:\Windows\System32\zrrVFQP.exe
  C:\Windows\System32\zrrVFQP.exe
  2⤵
  PID:8716
- C:\Windows\System32\szhUYnX.exe
  C:\Windows\System32\szhUYnX.exe
  2⤵
  PID:8732
- C:\Windows\System32\bxRfIOL.exe
  C:\Windows\System32\bxRfIOL.exe
  2⤵
  PID:8824
- C:\Windows\System32\faZschx.exe
  C:\Windows\System32\faZschx.exe
  2⤵
  PID:8856
- C:\Windows\System32\uaOgIws.exe
  C:\Windows\System32\uaOgIws.exe
  2⤵
  PID:8928
- C:\Windows\System32\FaVvrIE.exe
  C:\Windows\System32\FaVvrIE.exe
  2⤵
  PID:8948
- C:\Windows\System32\BRPvmfM.exe
  C:\Windows\System32\BRPvmfM.exe
  2⤵
  PID:8972
- C:\Windows\System32\XUVNsyK.exe
  C:\Windows\System32\XUVNsyK.exe
  2⤵
  PID:8992
- C:\Windows\System32\zBAsyUD.exe
  C:\Windows\System32\zBAsyUD.exe
  2⤵
  PID:9028
- C:\Windows\System32\NGjPcqN.exe
  C:\Windows\System32\NGjPcqN.exe
  2⤵
  PID:9064
- C:\Windows\System32\WDNpMxF.exe
  C:\Windows\System32\WDNpMxF.exe
  2⤵
  PID:9084
- C:\Windows\System32\LJtPZJx.exe
  C:\Windows\System32\LJtPZJx.exe
  2⤵
  PID:9108
- C:\Windows\System32\nIQGFWy.exe
  C:\Windows\System32\nIQGFWy.exe
  2⤵
  PID:9128
- C:\Windows\System32\owclRzo.exe
  C:\Windows\System32\owclRzo.exe
  2⤵
  PID:9164
- C:\Windows\System32\UBpmJXq.exe
  C:\Windows\System32\UBpmJXq.exe
  2⤵
  PID:9192
- C:\Windows\System32\DPEFIlW.exe
  C:\Windows\System32\DPEFIlW.exe
  2⤵
  PID:7892
- C:\Windows\System32\hkizMQV.exe
  C:\Windows\System32\hkizMQV.exe
  2⤵
  PID:8196
- C:\Windows\System32\gHHICyc.exe
  C:\Windows\System32\gHHICyc.exe
  2⤵
  PID:8228
- C:\Windows\System32\cqPlokF.exe
  C:\Windows\System32\cqPlokF.exe
  2⤵
  PID:8292
- C:\Windows\System32\RkQKXVd.exe
  C:\Windows\System32\RkQKXVd.exe
  2⤵
  PID:8332
- C:\Windows\System32\PQyCaiw.exe
  C:\Windows\System32\PQyCaiw.exe
  2⤵
  PID:8380
- C:\Windows\System32\KmbkXsk.exe
  C:\Windows\System32\KmbkXsk.exe
  2⤵
  PID:8448
- C:\Windows\System32\BFPSILk.exe
  C:\Windows\System32\BFPSILk.exe
  2⤵
  PID:8524
- C:\Windows\System32\Bsvmycg.exe
  C:\Windows\System32\Bsvmycg.exe
  2⤵
  PID:8492
- C:\Windows\System32\rDSkydV.exe
  C:\Windows\System32\rDSkydV.exe
  2⤵
  PID:8440
- C:\Windows\System32\Drjosjz.exe
  C:\Windows\System32\Drjosjz.exe
  2⤵
  PID:8648
- C:\Windows\System32\LbeGFLE.exe
  C:\Windows\System32\LbeGFLE.exe
  2⤵
  PID:8696
- C:\Windows\System32\BQcArJf.exe
  C:\Windows\System32\BQcArJf.exe
  2⤵
  PID:8832
- C:\Windows\System32\imwLuam.exe
  C:\Windows\System32\imwLuam.exe
  2⤵
  PID:8892
- C:\Windows\System32\keukKGo.exe
  C:\Windows\System32\keukKGo.exe
  2⤵
  PID:8964
- C:\Windows\System32\nhtzIco.exe
  C:\Windows\System32\nhtzIco.exe
  2⤵
  PID:9036
- C:\Windows\System32\ZHnymeQ.exe
  C:\Windows\System32\ZHnymeQ.exe
  2⤵
  PID:9104
- C:\Windows\System32\bZHGjrV.exe
  C:\Windows\System32\bZHGjrV.exe
  2⤵
  PID:9076
- C:\Windows\System32\QiAPKMc.exe
  C:\Windows\System32\QiAPKMc.exe
  2⤵
  PID:8240
- C:\Windows\System32\DZgMIgb.exe
  C:\Windows\System32\DZgMIgb.exe
  2⤵
  PID:8224
- C:\Windows\System32\UfJVYCv.exe
  C:\Windows\System32\UfJVYCv.exe
  2⤵
  PID:8428
- C:\Windows\System32\rXavYLW.exe
  C:\Windows\System32\rXavYLW.exe
  2⤵
  PID:8572
- C:\Windows\System32\vIcoyOS.exe
  C:\Windows\System32\vIcoyOS.exe
  2⤵
  PID:8588
- C:\Windows\System32\giBZZct.exe
  C:\Windows\System32\giBZZct.exe
  2⤵
  PID:8660
- C:\Windows\System32\pqXCIKc.exe
  C:\Windows\System32\pqXCIKc.exe
  2⤵
  PID:8868
- C:\Windows\System32\XWzUZgX.exe
  C:\Windows\System32\XWzUZgX.exe
  2⤵
  PID:9008
- C:\Windows\System32\WmXtrak.exe
  C:\Windows\System32\WmXtrak.exe
  2⤵
  PID:9212
- C:\Windows\System32\neYGMua.exe
  C:\Windows\System32\neYGMua.exe
  2⤵
  PID:8344
- C:\Windows\System32\cXCxCiU.exe
  C:\Windows\System32\cXCxCiU.exe
  2⤵
  PID:8432
- C:\Windows\System32\URFdVjn.exe
  C:\Windows\System32\URFdVjn.exe
  2⤵
  PID:8888
- C:\Windows\System32\NXBMBCC.exe
  C:\Windows\System32\NXBMBCC.exe
  2⤵
  PID:9148
- C:\Windows\System32\rkRsutk.exe
  C:\Windows\System32\rkRsutk.exe
  2⤵
  PID:8392
- C:\Windows\System32\febMRjl.exe
  C:\Windows\System32\febMRjl.exe
  2⤵
  PID:9232
- C:\Windows\System32\nsLhvLm.exe
  C:\Windows\System32\nsLhvLm.exe
  2⤵
  PID:9308
- C:\Windows\System32\fMbmPIH.exe
  C:\Windows\System32\fMbmPIH.exe
  2⤵
  PID:9336
- C:\Windows\System32\mJNaZfR.exe
  C:\Windows\System32\mJNaZfR.exe
  2⤵
  PID:9372
- C:\Windows\System32\LAvFDwn.exe
  C:\Windows\System32\LAvFDwn.exe
  2⤵
  PID:9388
- C:\Windows\System32\hMhYvaD.exe
  C:\Windows\System32\hMhYvaD.exe
  2⤵
  PID:9416
- C:\Windows\System32\BtiFeGv.exe
  C:\Windows\System32\BtiFeGv.exe
  2⤵
  PID:9452
- C:\Windows\System32\jZzVZdR.exe
  C:\Windows\System32\jZzVZdR.exe
  2⤵
  PID:9480
- C:\Windows\System32\PLRsVTF.exe
  C:\Windows\System32\PLRsVTF.exe
  2⤵
  PID:9508
- C:\Windows\System32\mJmbjxn.exe
  C:\Windows\System32\mJmbjxn.exe
  2⤵
  PID:9532
- C:\Windows\System32\IsLOaSX.exe
  C:\Windows\System32\IsLOaSX.exe
  2⤵
  PID:9552
- C:\Windows\System32\pHEglvo.exe
  C:\Windows\System32\pHEglvo.exe
  2⤵
  PID:9576
- C:\Windows\System32\qOpNzxZ.exe
  C:\Windows\System32\qOpNzxZ.exe
  2⤵
  PID:9596
- C:\Windows\System32\aYWqJJB.exe
  C:\Windows\System32\aYWqJJB.exe
  2⤵
  PID:9624
- C:\Windows\System32\ILxIhha.exe
  C:\Windows\System32\ILxIhha.exe
  2⤵
  PID:9660
- C:\Windows\System32\fnMSBrL.exe
  C:\Windows\System32\fnMSBrL.exe
  2⤵
  PID:9720
- C:\Windows\System32\eucjobe.exe
  C:\Windows\System32\eucjobe.exe
  2⤵
  PID:9748
- C:\Windows\System32\sZqmPrN.exe
  C:\Windows\System32\sZqmPrN.exe
  2⤵
  PID:9768
- C:\Windows\System32\cHNlKcl.exe
  C:\Windows\System32\cHNlKcl.exe
  2⤵
  PID:9800
- C:\Windows\System32\KPozhOT.exe
  C:\Windows\System32\KPozhOT.exe
  2⤵
  PID:9820
- C:\Windows\System32\BAOgSdB.exe
  C:\Windows\System32\BAOgSdB.exe
  2⤵
  PID:9840
- C:\Windows\System32\EXAqvta.exe
  C:\Windows\System32\EXAqvta.exe
  2⤵
  PID:9868
- C:\Windows\System32\TuLaeMv.exe
  C:\Windows\System32\TuLaeMv.exe
  2⤵
  PID:9892
- C:\Windows\System32\sAutLjd.exe
  C:\Windows\System32\sAutLjd.exe
  2⤵
  PID:9912
- C:\Windows\System32\aYRCpgp.exe
  C:\Windows\System32\aYRCpgp.exe
  2⤵
  PID:9932
- C:\Windows\System32\OyqRRIF.exe
  C:\Windows\System32\OyqRRIF.exe
  2⤵
  PID:9992
- C:\Windows\System32\bJKyUJH.exe
  C:\Windows\System32\bJKyUJH.exe
  2⤵
  PID:10028
- C:\Windows\System32\dhroUQp.exe
  C:\Windows\System32\dhroUQp.exe
  2⤵
  PID:10056
- C:\Windows\System32\oUBUswq.exe
  C:\Windows\System32\oUBUswq.exe
  2⤵
  PID:10084
- C:\Windows\System32\uXVJogZ.exe
  C:\Windows\System32\uXVJogZ.exe
  2⤵
  PID:10100
- C:\Windows\System32\KYblPil.exe
  C:\Windows\System32\KYblPil.exe
  2⤵
  PID:10120
- C:\Windows\System32\LAKkOAm.exe
  C:\Windows\System32\LAKkOAm.exe
  2⤵
  PID:10156
- C:\Windows\System32\zYhZipy.exe
  C:\Windows\System32\zYhZipy.exe
  2⤵
  PID:10184
- C:\Windows\System32\AMtYXXK.exe
  C:\Windows\System32\AMtYXXK.exe
  2⤵
  PID:10212
- C:\Windows\System32\suGhHDk.exe
  C:\Windows\System32\suGhHDk.exe
  2⤵
  PID:10232
- C:\Windows\System32\AEODhxb.exe
  C:\Windows\System32\AEODhxb.exe
  2⤵
  PID:8368
- C:\Windows\System32\qyWTjRg.exe
  C:\Windows\System32\qyWTjRg.exe
  2⤵
  PID:9280
- C:\Windows\System32\SNblBXM.exe
  C:\Windows\System32\SNblBXM.exe
  2⤵
  PID:9364
- C:\Windows\System32\gFAdoGg.exe
  C:\Windows\System32\gFAdoGg.exe
  2⤵
  PID:9424
- C:\Windows\System32\fJwFHMR.exe
  C:\Windows\System32\fJwFHMR.exe
  2⤵
  PID:9504
- C:\Windows\System32\tsGQHaa.exe
  C:\Windows\System32\tsGQHaa.exe
  2⤵
  PID:9592
- C:\Windows\System32\xUFBGiW.exe
  C:\Windows\System32\xUFBGiW.exe
  2⤵
  PID:9652
- C:\Windows\System32\DKtMQSC.exe
  C:\Windows\System32\DKtMQSC.exe
  2⤵
  PID:9676
- C:\Windows\System32\aorlLmp.exe
  C:\Windows\System32\aorlLmp.exe
  2⤵
  PID:9784
- C:\Windows\System32\ApoVnWe.exe
  C:\Windows\System32\ApoVnWe.exe
  2⤵
  PID:9860
- C:\Windows\System32\CvpAaKQ.exe
  C:\Windows\System32\CvpAaKQ.exe
  2⤵
  PID:9908
- C:\Windows\System32\iUkvskH.exe
  C:\Windows\System32\iUkvskH.exe
  2⤵
  PID:10000
- C:\Windows\System32\xcehpmM.exe
  C:\Windows\System32\xcehpmM.exe
  2⤵
  PID:10080
- C:\Windows\System32\KPWgTjJ.exe
  C:\Windows\System32\KPWgTjJ.exe
  2⤵
  PID:10112
- C:\Windows\System32\qiooPGf.exe
  C:\Windows\System32\qiooPGf.exe
  2⤵
  PID:10172
- C:\Windows\System32\CqkOHGS.exe
  C:\Windows\System32\CqkOHGS.exe
  2⤵
  PID:9024
- C:\Windows\System32\blhIOzt.exe
  C:\Windows\System32\blhIOzt.exe
  2⤵
  PID:9352
- C:\Windows\System32\euxZeUT.exe
  C:\Windows\System32\euxZeUT.exe
  2⤵
  PID:9656
- C:\Windows\System32\ZmspRrb.exe
  C:\Windows\System32\ZmspRrb.exe
  2⤵
  PID:9712
- C:\Windows\System32\nHEdImx.exe
  C:\Windows\System32\nHEdImx.exe
  2⤵
  PID:9928
- C:\Windows\System32\UIOIccu.exe
  C:\Windows\System32\UIOIccu.exe
  2⤵
  PID:10008
- C:\Windows\System32\lcQgvXR.exe
  C:\Windows\System32\lcQgvXR.exe
  2⤵
  PID:9048
- C:\Windows\System32\OEtJtLO.exe
  C:\Windows\System32\OEtJtLO.exe
  2⤵
  PID:9316
- C:\Windows\System32\JLPwYDn.exe
  C:\Windows\System32\JLPwYDn.exe
  2⤵
  PID:10092
- C:\Windows\System32\wcaLsDq.exe
  C:\Windows\System32\wcaLsDq.exe
  2⤵
  PID:9612
- C:\Windows\System32\vVQsoBn.exe
  C:\Windows\System32\vVQsoBn.exe
  2⤵
  PID:10244
- C:\Windows\System32\VpFjXKO.exe
  C:\Windows\System32\VpFjXKO.exe
  2⤵
  PID:10268
- C:\Windows\System32\KtkEEwJ.exe
  C:\Windows\System32\KtkEEwJ.exe
  2⤵
  PID:10288
- C:\Windows\System32\SYRtnNY.exe
  C:\Windows\System32\SYRtnNY.exe
  2⤵
  PID:10304
- C:\Windows\System32\hPuAypK.exe
  C:\Windows\System32\hPuAypK.exe
  2⤵
  PID:10340
- C:\Windows\System32\AcRwwiu.exe
  C:\Windows\System32\AcRwwiu.exe
  2⤵
  PID:10384
- C:\Windows\System32\RgZqvem.exe
  C:\Windows\System32\RgZqvem.exe
  2⤵
  PID:10412
- C:\Windows\System32\jGOArbx.exe
  C:\Windows\System32\jGOArbx.exe
  2⤵
  PID:10436
- C:\Windows\System32\PfRqvag.exe
  C:\Windows\System32\PfRqvag.exe
  2⤵
  PID:10468
- C:\Windows\System32\dAPsTDd.exe
  C:\Windows\System32\dAPsTDd.exe
  2⤵
  PID:10504
- C:\Windows\System32\EYEUaLC.exe
  C:\Windows\System32\EYEUaLC.exe
  2⤵
  PID:10528
- C:\Windows\System32\eoWirvp.exe
  C:\Windows\System32\eoWirvp.exe
  2⤵
  PID:10552
- C:\Windows\System32\AhSDgQI.exe
  C:\Windows\System32\AhSDgQI.exe
  2⤵
  PID:10584
- C:\Windows\System32\IPZogcW.exe
  C:\Windows\System32\IPZogcW.exe
  2⤵
  PID:10604
- C:\Windows\System32\ItqDLcc.exe
  C:\Windows\System32\ItqDLcc.exe
  2⤵
  PID:10632
- C:\Windows\System32\ncQiPri.exe
  C:\Windows\System32\ncQiPri.exe
  2⤵
  PID:10648
- C:\Windows\System32\qivYSKM.exe
  C:\Windows\System32\qivYSKM.exe
  2⤵
  PID:10688
- C:\Windows\System32\dFiCBWn.exe
  C:\Windows\System32\dFiCBWn.exe
  2⤵
  PID:10728
- C:\Windows\System32\uGHTvtv.exe
  C:\Windows\System32\uGHTvtv.exe
  2⤵
  PID:10756
- C:\Windows\System32\IvZsPbv.exe
  C:\Windows\System32\IvZsPbv.exe
  2⤵
  PID:10776
- C:\Windows\System32\pyJXwVU.exe
  C:\Windows\System32\pyJXwVU.exe
  2⤵
  PID:10800
- C:\Windows\System32\VJJaPTZ.exe
  C:\Windows\System32\VJJaPTZ.exe
  2⤵
  PID:10836
- C:\Windows\System32\MroPnjH.exe
  C:\Windows\System32\MroPnjH.exe
  2⤵
  PID:10860
- C:\Windows\System32\mhqMthj.exe
  C:\Windows\System32\mhqMthj.exe
  2⤵
  PID:10884
- C:\Windows\System32\rhmkRhz.exe
  C:\Windows\System32\rhmkRhz.exe
  2⤵
  PID:10904
- C:\Windows\System32\TBPJdRc.exe
  C:\Windows\System32\TBPJdRc.exe
  2⤵
  PID:10952
- C:\Windows\System32\xXygfYN.exe
  C:\Windows\System32\xXygfYN.exe
  2⤵
  PID:10968
- C:\Windows\System32\hmpNxsA.exe
  C:\Windows\System32\hmpNxsA.exe
  2⤵
  PID:10996
- C:\Windows\System32\GJEcWQR.exe
  C:\Windows\System32\GJEcWQR.exe
  2⤵
  PID:11036
- C:\Windows\System32\YRshduR.exe
  C:\Windows\System32\YRshduR.exe
  2⤵
  PID:11056
- C:\Windows\System32\yESmvxQ.exe
  C:\Windows\System32\yESmvxQ.exe
  2⤵
  PID:11080
- C:\Windows\System32\RAkErKt.exe
  C:\Windows\System32\RAkErKt.exe
  2⤵
  PID:11120
- C:\Windows\System32\Edpxdyx.exe
  C:\Windows\System32\Edpxdyx.exe
  2⤵
  PID:11148
- C:\Windows\System32\tMpqGUM.exe
  C:\Windows\System32\tMpqGUM.exe
  2⤵
  PID:11176
- C:\Windows\System32\DHGluKB.exe
  C:\Windows\System32\DHGluKB.exe
  2⤵
  PID:11204
- C:\Windows\System32\kNKZPrz.exe
  C:\Windows\System32\kNKZPrz.exe
  2⤵
  PID:11228
- C:\Windows\System32\RubIWpH.exe
  C:\Windows\System32\RubIWpH.exe
  2⤵
  PID:11252
- C:\Windows\System32\HPNIyad.exe
  C:\Windows\System32\HPNIyad.exe
  2⤵
  PID:10136
- C:\Windows\System32\IJTQiRH.exe
  C:\Windows\System32\IJTQiRH.exe
  2⤵
  PID:10284
- C:\Windows\System32\hyHhAdF.exe
  C:\Windows\System32\hyHhAdF.exe
  2⤵
  PID:10300
- C:\Windows\System32\ifrkfym.exe
  C:\Windows\System32\ifrkfym.exe
  2⤵
  PID:10420
- C:\Windows\System32\arTiXrd.exe
  C:\Windows\System32\arTiXrd.exe
  2⤵
  PID:10456
- C:\Windows\System32\xgklnDi.exe
  C:\Windows\System32\xgklnDi.exe
  2⤵
  PID:10516
- C:\Windows\System32\EPRkrtF.exe
  C:\Windows\System32\EPRkrtF.exe
  2⤵
  PID:10572
- C:\Windows\System32\bNoLoDb.exe
  C:\Windows\System32\bNoLoDb.exe
  2⤵
  PID:10644
- C:\Windows\System32\OXMOgsm.exe
  C:\Windows\System32\OXMOgsm.exe
  2⤵
  PID:10700
- C:\Windows\System32\LqxpPXO.exe
  C:\Windows\System32\LqxpPXO.exe
  2⤵
  PID:10748
- C:\Windows\System32\HyiapvW.exe
  C:\Windows\System32\HyiapvW.exe
  2⤵
  PID:10812
- C:\Windows\System32\aZoGYpX.exe
  C:\Windows\System32\aZoGYpX.exe
  2⤵
  PID:10944
- C:\Windows\System32\ERBwNgS.exe
  C:\Windows\System32\ERBwNgS.exe
  2⤵
  PID:10980
- C:\Windows\System32\QguimyN.exe
  C:\Windows\System32\QguimyN.exe
  2⤵
  PID:11024
- C:\Windows\System32\ltEvUAx.exe
  C:\Windows\System32\ltEvUAx.exe
  2⤵
  PID:11096
- C:\Windows\System32\joXeKCj.exe
  C:\Windows\System32\joXeKCj.exe
  2⤵
  PID:11260
- C:\Windows\System32\tCqrlLi.exe
  C:\Windows\System32\tCqrlLi.exe
  2⤵
  PID:10372
- C:\Windows\System32\JXNrMWY.exe
  C:\Windows\System32\JXNrMWY.exe
  2⤵
  PID:10432
- C:\Windows\System32\LGbzsFs.exe
  C:\Windows\System32\LGbzsFs.exe
  2⤵
  PID:10536
- C:\Windows\System32\PtBxujC.exe
  C:\Windows\System32\PtBxujC.exe
  2⤵
  PID:10616
- C:\Windows\System32\RiJWBiP.exe
  C:\Windows\System32\RiJWBiP.exe
  2⤵
  PID:10816
- C:\Windows\System32\BkUpvTi.exe
  C:\Windows\System32\BkUpvTi.exe
  2⤵
  PID:10856
- C:\Windows\System32\bFneFJA.exe
  C:\Windows\System32\bFneFJA.exe
  2⤵
  PID:11016
- C:\Windows\System32\WPwbJGj.exe
  C:\Windows\System32\WPwbJGj.exe
  2⤵
  PID:10448
- C:\Windows\System32\ktbZmnL.exe
  C:\Windows\System32\ktbZmnL.exe
  2⤵
  PID:10752
- C:\Windows\System32\hVIZJXb.exe
  C:\Windows\System32\hVIZJXb.exe
  2⤵
  PID:10896
- C:\Windows\System32\TbFzmVi.exe
  C:\Windows\System32\TbFzmVi.exe
  2⤵
  PID:11008
- C:\Windows\System32\AVvvcIV.exe
  C:\Windows\System32\AVvvcIV.exe
  2⤵
  PID:10660
- C:\Windows\System32\jCkqRMh.exe
  C:\Windows\System32\jCkqRMh.exe
  2⤵
  PID:11292
- C:\Windows\System32\PdXoHWi.exe
  C:\Windows\System32\PdXoHWi.exe
  2⤵
  PID:11328
- C:\Windows\System32\PnOOltn.exe
  C:\Windows\System32\PnOOltn.exe
  2⤵
  PID:11352
- C:\Windows\System32\tRYtWiD.exe
  C:\Windows\System32\tRYtWiD.exe
  2⤵
  PID:11392
- C:\Windows\System32\EWaWKKv.exe
  C:\Windows\System32\EWaWKKv.exe
  2⤵
  PID:11416
- C:\Windows\System32\xfdXCKK.exe
  C:\Windows\System32\xfdXCKK.exe
  2⤵
  PID:11436
- C:\Windows\System32\BSgowad.exe
  C:\Windows\System32\BSgowad.exe
  2⤵
  PID:11480
- C:\Windows\System32\HdeHLtS.exe
  C:\Windows\System32\HdeHLtS.exe
  2⤵
  PID:11500
- C:\Windows\System32\CEbuHGb.exe
  C:\Windows\System32\CEbuHGb.exe
  2⤵
  PID:11532
- C:\Windows\System32\XNvyzJE.exe
  C:\Windows\System32\XNvyzJE.exe
  2⤵
  PID:11556
- C:\Windows\System32\ZiqmZYQ.exe
  C:\Windows\System32\ZiqmZYQ.exe
  2⤵
  PID:11588
- C:\Windows\System32\SYJASkL.exe
  C:\Windows\System32\SYJASkL.exe
  2⤵
  PID:11612
- C:\Windows\System32\cjtVCQf.exe
  C:\Windows\System32\cjtVCQf.exe
  2⤵
  PID:11640
- C:\Windows\System32\RXXOzYq.exe
  C:\Windows\System32\RXXOzYq.exe
  2⤵
  PID:11664
- C:\Windows\System32\qumSJFv.exe
  C:\Windows\System32\qumSJFv.exe
  2⤵
  PID:11684
- C:\Windows\System32\eFRrCRg.exe
  C:\Windows\System32\eFRrCRg.exe
  2⤵
  PID:11720
- C:\Windows\System32\GbdUDNh.exe
  C:\Windows\System32\GbdUDNh.exe
  2⤵
  PID:11744
- C:\Windows\System32\sQdSaBd.exe
  C:\Windows\System32\sQdSaBd.exe
  2⤵
  PID:11760
- C:\Windows\System32\UBjaOwt.exe
  C:\Windows\System32\UBjaOwt.exe
  2⤵
  PID:11800
- C:\Windows\System32\FTdpXCC.exe
  C:\Windows\System32\FTdpXCC.exe
  2⤵
  PID:11832
- C:\Windows\System32\RYRWXwI.exe
  C:\Windows\System32\RYRWXwI.exe
  2⤵
  PID:11848
- C:\Windows\System32\ZcILnYd.exe
  C:\Windows\System32\ZcILnYd.exe
  2⤵
  PID:11868
- C:\Windows\System32\rgeDczb.exe
  C:\Windows\System32\rgeDczb.exe
  2⤵
  PID:11884
- C:\Windows\System32\AtrUJSH.exe
  C:\Windows\System32\AtrUJSH.exe
  2⤵
  PID:11936
- C:\Windows\System32\TzFezjG.exe
  C:\Windows\System32\TzFezjG.exe
  2⤵
  PID:11968
- C:\Windows\System32\tcsmQRx.exe
  C:\Windows\System32\tcsmQRx.exe
  2⤵
  PID:11992
- C:\Windows\System32\OOQyQtN.exe
  C:\Windows\System32\OOQyQtN.exe
  2⤵
  PID:12008
- C:\Windows\System32\QGkABug.exe
  C:\Windows\System32\QGkABug.exe
  2⤵
  PID:12040
- C:\Windows\System32\KzfMTUv.exe
  C:\Windows\System32\KzfMTUv.exe
  2⤵
  PID:12088
- C:\Windows\System32\ThFIpkO.exe
  C:\Windows\System32\ThFIpkO.exe
  2⤵
  PID:12116
- C:\Windows\System32\GrDmpCq.exe
  C:\Windows\System32\GrDmpCq.exe
  2⤵
  PID:12140
- C:\Windows\System32\ndBNHaS.exe
  C:\Windows\System32\ndBNHaS.exe
  2⤵
  PID:12184
- C:\Windows\System32\hNeUrAj.exe
  C:\Windows\System32\hNeUrAj.exe
  2⤵
  PID:12200
- C:\Windows\System32\boihDTn.exe
  C:\Windows\System32\boihDTn.exe
  2⤵
  PID:12224
- C:\Windows\System32\BxXVuxP.exe
  C:\Windows\System32\BxXVuxP.exe
  2⤵
  PID:12244
- C:\Windows\System32\PsQTOLs.exe
  C:\Windows\System32\PsQTOLs.exe
  2⤵
  PID:12272
- C:\Windows\System32\xVccjaN.exe
  C:\Windows\System32\xVccjaN.exe
  2⤵
  PID:11284
- C:\Windows\System32\ymaQZnW.exe
  C:\Windows\System32\ymaQZnW.exe
  2⤵
  PID:11316
- C:\Windows\System32\oxHWPjb.exe
  C:\Windows\System32\oxHWPjb.exe
  2⤵
  PID:11424
- C:\Windows\System32\SedpUHR.exe
  C:\Windows\System32\SedpUHR.exe
  2⤵
  PID:11492
- C:\Windows\System32\wqgoged.exe
  C:\Windows\System32\wqgoged.exe
  2⤵
  PID:11540
- C:\Windows\System32\ZNNlHOD.exe
  C:\Windows\System32\ZNNlHOD.exe
  2⤵
  PID:11604
- C:\Windows\System32\xoDShkn.exe
  C:\Windows\System32\xoDShkn.exe
  2⤵
  PID:11708
- C:\Windows\System32\yioZruF.exe
  C:\Windows\System32\yioZruF.exe
  2⤵
  PID:11712
- C:\Windows\System32\SNbSPaQ.exe
  C:\Windows\System32\SNbSPaQ.exe
  2⤵
  PID:11824
- C:\Windows\System32\ZOfMBfN.exe
  C:\Windows\System32\ZOfMBfN.exe
  2⤵
  PID:11904
- C:\Windows\System32\ssQJyWI.exe
  C:\Windows\System32\ssQJyWI.exe
  2⤵
  PID:11948
- C:\Windows\System32\jHZiWDj.exe
  C:\Windows\System32\jHZiWDj.exe
  2⤵
  PID:12004
- C:\Windows\System32\bHPxfxM.exe
  C:\Windows\System32\bHPxfxM.exe
  2⤵
  PID:12028
- C:\Windows\System32\tHgteUs.exe
  C:\Windows\System32\tHgteUs.exe
  2⤵
  PID:12100
- C:\Windows\System32\NAeBsvE.exe
  C:\Windows\System32\NAeBsvE.exe
  2⤵
  PID:12152
- C:\Windows\System32\SZKnJcl.exe
  C:\Windows\System32\SZKnJcl.exe
  2⤵
  PID:12156
- C:\Windows\System32\WQjIpkX.exe
  C:\Windows\System32\WQjIpkX.exe
  2⤵
  PID:12236
- C:\Windows\System32\lUlGrhj.exe
  C:\Windows\System32\lUlGrhj.exe
  2⤵
  PID:9808
- C:\Windows\System32\dfMvsWC.exe
  C:\Windows\System32\dfMvsWC.exe
  2⤵
  PID:11412
- C:\Windows\System32\cWSNnDf.exe
  C:\Windows\System32\cWSNnDf.exe
  2⤵
  PID:9736
- C:\Windows\System32\lvcvkLP.exe
  C:\Windows\System32\lvcvkLP.exe
  2⤵
  PID:5064
- C:\Windows\System32\DPJRTsl.exe
  C:\Windows\System32\DPJRTsl.exe
  2⤵
  PID:11860
- C:\Windows\System32\SNxdDPI.exe
  C:\Windows\System32\SNxdDPI.exe
  2⤵
  PID:11980
- C:\Windows\System32\kuxYOcF.exe
  C:\Windows\System32\kuxYOcF.exe
  2⤵
  PID:12108
- C:\Windows\System32\xUmokwC.exe
  C:\Windows\System32\xUmokwC.exe
  2⤵
  PID:11488
- C:\Windows\System32\FkYvgOi.exe
  C:\Windows\System32\FkYvgOi.exe
  2⤵
  PID:11520
- C:\Windows\System32\uHDYwDj.exe
  C:\Windows\System32\uHDYwDj.exe
  2⤵
  PID:11756
- C:\Windows\System32\tAdpIkJ.exe
  C:\Windows\System32\tAdpIkJ.exe
  2⤵
  PID:11880
- C:\Windows\System32\WsEoawo.exe
  C:\Windows\System32\WsEoawo.exe
  2⤵
  PID:12260
- C:\Windows\System32\LYqkohd.exe
  C:\Windows\System32\LYqkohd.exe
  2⤵
  PID:2184
- C:\Windows\System32\vMOyQzs.exe
  C:\Windows\System32\vMOyQzs.exe
  2⤵
  PID:12344
- C:\Windows\System32\SQHseRr.exe
  C:\Windows\System32\SQHseRr.exe
  2⤵
  PID:12364
- C:\Windows\System32\ITgrCef.exe
  C:\Windows\System32\ITgrCef.exe
  2⤵
  PID:12380
- C:\Windows\System32\pQDeoEp.exe
  C:\Windows\System32\pQDeoEp.exe
  2⤵
  PID:12408
- C:\Windows\System32\IcAdBLl.exe
  C:\Windows\System32\IcAdBLl.exe
  2⤵
  PID:12464
- C:\Windows\System32\GSUPdVb.exe
  C:\Windows\System32\GSUPdVb.exe
  2⤵
  PID:12480
- C:\Windows\System32\YBWpmgu.exe
  C:\Windows\System32\YBWpmgu.exe
  2⤵
  PID:12500
- C:\Windows\System32\IqJDRQP.exe
  C:\Windows\System32\IqJDRQP.exe
  2⤵
  PID:12524
- C:\Windows\System32\nWFXBnB.exe
  C:\Windows\System32\nWFXBnB.exe
  2⤵
  PID:12568
- C:\Windows\System32\yLCGnTD.exe
  C:\Windows\System32\yLCGnTD.exe
  2⤵
  PID:12596
- C:\Windows\System32\gSMalhC.exe
  C:\Windows\System32\gSMalhC.exe
  2⤵
  PID:12624
- C:\Windows\System32\PifyTYM.exe
  C:\Windows\System32\PifyTYM.exe
  2⤵
  PID:12648
- C:\Windows\System32\ShfHdWI.exe
  C:\Windows\System32\ShfHdWI.exe
  2⤵
  PID:12664
- C:\Windows\System32\YvDFiwr.exe
  C:\Windows\System32\YvDFiwr.exe
  2⤵
  PID:12696
- C:\Windows\System32\fJKUkDD.exe
  C:\Windows\System32\fJKUkDD.exe
  2⤵
  PID:12712
- C:\Windows\System32\UVgQCeG.exe
  C:\Windows\System32\UVgQCeG.exe
  2⤵
  PID:12768
- C:\Windows\System32\POssSJm.exe
  C:\Windows\System32\POssSJm.exe
  2⤵
  PID:12788
- C:\Windows\System32\utYwJho.exe
  C:\Windows\System32\utYwJho.exe
  2⤵
  PID:12816
- C:\Windows\System32\oWgKpmo.exe
  C:\Windows\System32\oWgKpmo.exe
  2⤵
  PID:12844
- C:\Windows\System32\wqPUWlE.exe
  C:\Windows\System32\wqPUWlE.exe
  2⤵
  PID:12872
- C:\Windows\System32\pfocqPj.exe
  C:\Windows\System32\pfocqPj.exe
  2⤵
  PID:12892
- C:\Windows\System32\XDvIikx.exe
  C:\Windows\System32\XDvIikx.exe
  2⤵
  PID:12916
- C:\Windows\System32\UqhdnfZ.exe
  C:\Windows\System32\UqhdnfZ.exe
  2⤵
  PID:12952
- C:\Windows\System32\xHHMfXf.exe
  C:\Windows\System32\xHHMfXf.exe
  2⤵
  PID:12992
- C:\Windows\System32\GNgWgKR.exe
  C:\Windows\System32\GNgWgKR.exe
  2⤵
  PID:13016
- C:\Windows\System32\eDLuUso.exe
  C:\Windows\System32\eDLuUso.exe
  2⤵
  PID:13036
- C:\Windows\System32\OIhgdSc.exe
  C:\Windows\System32\OIhgdSc.exe
  2⤵
  PID:13064
- C:\Windows\System32\MGVfCeU.exe
  C:\Windows\System32\MGVfCeU.exe
  2⤵
  PID:13092
- C:\Windows\System32\wXUKrkq.exe
  C:\Windows\System32\wXUKrkq.exe
  2⤵
  PID:13112
- C:\Windows\System32\KveqeCd.exe
  C:\Windows\System32\KveqeCd.exe
  2⤵
  PID:13156
- C:\Windows\System32\POlkQpK.exe
  C:\Windows\System32\POlkQpK.exe
  2⤵
  PID:13196
- C:\Windows\System32\yUtYMwP.exe
  C:\Windows\System32\yUtYMwP.exe
  2⤵
  PID:13236
- C:\Windows\System32\FksCRpp.exe
  C:\Windows\System32\FksCRpp.exe
  2⤵
  PID:13260
- C:\Windows\System32\OHyJxMx.exe
  C:\Windows\System32\OHyJxMx.exe
  2⤵
  PID:13280
- C:\Windows\System32\xxwspSg.exe
  C:\Windows\System32\xxwspSg.exe
  2⤵
  PID:13304
- C:\Windows\System32\FOjifri.exe
  C:\Windows\System32\FOjifri.exe
  2⤵
  PID:12312
- C:\Windows\System32\cFcIBUl.exe
  C:\Windows\System32\cFcIBUl.exe
  2⤵
  PID:12360
- C:\Windows\System32\UgHdzFf.exe
  C:\Windows\System32\UgHdzFf.exe
  2⤵
  PID:12444
- C:\Windows\System32\KFsFFwV.exe
  C:\Windows\System32\KFsFFwV.exe
  2⤵
  PID:12492
- C:\Windows\System32\gUtZvNJ.exe
  C:\Windows\System32\gUtZvNJ.exe
  2⤵
  PID:12520
- C:\Windows\System32\ZYUYfaL.exe
  C:\Windows\System32\ZYUYfaL.exe
  2⤵
  PID:12576
- C:\Windows\System32\mkjQaIL.exe
  C:\Windows\System32\mkjQaIL.exe
  2⤵
  PID:12636
- C:\Windows\System32\SdLTONk.exe
  C:\Windows\System32\SdLTONk.exe
  2⤵
  PID:12708
- C:\Windows\System32\UXnhCKl.exe
  C:\Windows\System32\UXnhCKl.exe
  2⤵
  PID:12800
- C:\Windows\System32\LPrZSJR.exe
  C:\Windows\System32\LPrZSJR.exe
  2⤵
  PID:12884
- C:\Windows\System32\HAZWWaN.exe
  C:\Windows\System32\HAZWWaN.exe
  2⤵
  PID:12928
- C:\Windows\System32\aGXzQwi.exe
  C:\Windows\System32\aGXzQwi.exe
  2⤵
  PID:13012
- C:\Windows\System32\FpzDXYu.exe
  C:\Windows\System32\FpzDXYu.exe
  2⤵
  PID:13072

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:4396

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BNnBBHH.exe

Filesize
1.8MB

MD5
a234e8cff2a4237096c18a01ce462e4d

SHA1
25ef5ea1bab5b6607db10824de14924054113397

SHA256
0beccef34f709725af98a79433b7c6de9571058cabecac2fa1f7ccd0404cb1bf

SHA512
447a4c5adb2660879d1e1b1e42efdb7e3c16bb76e45829151e1c9144ee260642638e75069af8cf3221740d44c5fbcadfe601a6c48695c005e959c6abd555c723

Download Submit
C:\Windows\System32\CLpqpow.exe

Filesize
1.8MB

MD5
af22534c5f8fb459d9b975b5075643d3

SHA1
b41b240926fc8d53b6522103a082f6e9e91c8bd1

SHA256
1437823a564a29952253a775a0142877128b430004f135cadee5636b0feb65b0

SHA512
9ca07ba6d1db49fad030e464a49a866f761ba7fc972e62ff858fdfee7baaf7ba6d795bea7c0a532dc36a92372383d4c7368aaf9ea4c9d2eadc1f4a6cea038980

Download Submit
C:\Windows\System32\ETRpQSp.exe

Filesize
1.8MB

MD5
58a4b5ae287ed12c453b51d10e005d75

SHA1
e356d2fdc804ed61e8698f10e4411c8c16caeb64

SHA256
b711e6460d42c1440eb1f6fcbfcfbea901a92f28643388afc081431a53c29cd2

SHA512
5611a5bc2aab38fafed21f8f3688d9bd1c0a19636d7349b10d8208d5fe6015c6dc1f83f0bff41fd0a8de067082e80ad453533cbf7be6936ae04bf6668fbedfd4

Download Submit
C:\Windows\System32\EkwKDGw.exe

Filesize
1.8MB

MD5
94328616ec820ed75b401b9a76fe1592

SHA1
1a768184c0b729fe96d24ca6bd56ec60dd5684b2

SHA256
d9c4a256edbb307e2f4e33053d7d2c105c5e83dc2edabc55ba58f86c4e6994e3

SHA512
8feaffa20de4a9fe27f2446d10e75b23310da1835dbc52dc9b984d641adfdf7d6c52cc20c427a0a2d3070c025701ed885c497d3dad90fa09efba8029599df267

Download Submit
C:\Windows\System32\GcOFkNQ.exe

Filesize
1.8MB

MD5
853985a9b62c3afa69de32484a33b221

SHA1
29810b1c299e37703789f0dbd1de8c26940075af

SHA256
39e577f47542565cc81c039940ad501aa13674d899a6ff4d405c73d9ee154335

SHA512
7d448fb0f94ee5039afda6c493f08aeead445b9c8562841aee367e1a6c81f062e9adceb7f1669c5622701c0f7d48eaaac599e6360a792da7deb956762b3573b3

Download Submit
C:\Windows\System32\InXTvkT.exe

Filesize
1.8MB

MD5
2179e20e4326d07e3f7914d26f68a06b

SHA1
3fa5f4d8a4dda1baece3ef1304f8f8d4532fc660

SHA256
9660249303577d8cba81aab6ee2e257076a48fabfb4b076b5b7636e767d12112

SHA512
4d2b2c7fb49394a86521c4f2c47467c5b675eab74e8d334a62c7c75e062415787b8ab900aa446012e405966258b996500c63dcb5f58640a7e61a6940afd695d8

Download Submit
C:\Windows\System32\JqjmGYC.exe

Filesize
1.8MB

MD5
206f6544aface21c283915959f530c84

SHA1
a23b70bff945c31fd1086bb4ba0f8df60fd18ea4

SHA256
54f8e57557c447161e83f3760885d7ac9d189c7663c4c4a81ec76312462a5adf

SHA512
683a7612f58112e277cf92c32839555c5178aed48a5adca0c28cc801542d994624948e8f3bbd5b5bafa0d4e3b688e66a67e870d45b6d94f4b07226abdc073e37

Download Submit
C:\Windows\System32\KibNjYf.exe

Filesize
1.8MB

MD5
f4c4e7e9437d022821b691f69981df27

SHA1
7f5491d7d651096fc4fcfa46e3941ae0ae8c0b93

SHA256
730debe10efb33ad6389c72f159bab1f0432ce48d587e76756a30da7f1f9ab6e

SHA512
acf046367fc628f27d0bf487613eaf17a180d540cf84f1e70723031448b5d5c155c1b9f9823f06832ab8379ffc00aaeefdd332bf9c0ac3fdcd29db9ea4ec57f0

Download Submit
C:\Windows\System32\OqJJAvi.exe

Filesize
1.8MB

MD5
453c260cc63603a9e04c276bf9bef4f3

SHA1
d863e18a2f421e6f86339688a63e94a303e56a94

SHA256
0863c7a2c2f6c96bd0cc8382251d543e98a2b2c4b0632715871bb156526961a4

SHA512
7cbf2b4c9efd4c04297443dee0a9634aeb7892ba3c0573cd44c27339c512731c13382c46d23ba6db2bfa203ec4e517f334c2603cf27888289cb2f5cadb5b5f57

Download Submit
C:\Windows\System32\PCUPfdb.exe

Filesize
1.8MB

MD5
32d37eb3d66ab57fd11924a69f8aed5d

SHA1
f203a4b2f3274287af1fea22dd7cf12e18ec106c

SHA256
778d5aac8131d4a9d2cf6c7e7d32af75bed155123b2afdbe48432ca3281a9c01

SHA512
05510a97a705f67556defd413cb06a5864520bf8c7f47b5a1f16ce384a8310e0786e06bb7f4021a68df82c948d60ec6c1f31f10062fe61118a14ae25b5777400

Download Submit
C:\Windows\System32\UTyqHWf.exe

Filesize
1.8MB

MD5
143d3cec43bb8c0ac5cbedd9b572fb5b

SHA1
2fdfe0235825fa461d5540ce78a235e0375ca443

SHA256
344e61f2647ce7894da411816800457dabf3be7f10fb0ed7a0cdfa074480ae6d

SHA512
3b87585db7cf889901f9aa5b6278a1218174e2efa3b8b0ebcf94b6d90100c7b56f3ebe7fab4b4d4dea4448dcb5001f8d534f19bef3a30103fb0a221938a12c37

Download Submit
C:\Windows\System32\UstfaOu.exe

Filesize
1.8MB

MD5
95e01d259569968e9e011bd10c8b1f81

SHA1
055df542db66cb6a24d453a2ae4cfdd84c2fa5ac

SHA256
ee84bccd054caa7427be3c35f02d3f7a590d0edfb963e2c10c93d6f395f1f53f

SHA512
f7db3709726fd0ffd487c0d57c89cf8b2496badf8170b69344764d1245863ae57f0ca5c01bc3e0fb2b63c05bf32fabd1451eb431be96bd691199ca2fe5f6a013

Download Submit
C:\Windows\System32\XfjSgXZ.exe

Filesize
1.8MB

MD5
d1de2720e27119da3e11a789af66092e

SHA1
0d159e6facaabcc0559b488d88313fb26e15202a

SHA256
881a7dae7240dde18d27aa75a7ba6ec4594e8a278a7b7d92a273adcb9b8c8eb9

SHA512
39d5e7f72a8c4e9a8592297f2068d390bb3a8405eea2005011c40fc2776fb377c068ec7ef72ad6f45890dbbefc7ccc095020f5ef4ad2c959b0d43e44db6635fd

Download Submit
C:\Windows\System32\atMZJKE.exe

Filesize
1.8MB

MD5
ca121f73c90c8d16280f47dacb22fc99

SHA1
0af63132d2a231f47af0f14d9f551d83e0c6e07b

SHA256
6d7d15f75992c1cebf8bd690abbd169f3b6cfaa5ce407cac532539e73a305690

SHA512
dec5bfcc028adb6c3e59599c15cc46c91410b30c11d9c6b8c889d4af8a78ddff0aaadef376b4baeb2a9726f94115ecdd9e2a527b16247238d827f13b6b362318

Download Submit
C:\Windows\System32\bREXAev.exe

Filesize
1.8MB

MD5
04286412fb66828ae0a0cea761af15e4

SHA1
c3fa0b5f0e4f1a0ac6650cae2b5bcdce91ec7023

SHA256
187f093c57d3d1e4dc72561a15eeb66a01e4f820f5c3634f982334c8d21d7094

SHA512
e913ddefbfcdb887526b5b8d9a64fefd709c573880f8bd65084b6ba8338ad1e63484376ede29c83042995ed64af0deedd5f7734083c8b243035736cf1d4fba39

Download Submit
C:\Windows\System32\cYkHEOg.exe

Filesize
1.8MB

MD5
cd54b0ac55944308fd289b5dd3c4ad45

SHA1
87e555c451f2b1d73c68c0b4246ae5bcf722deb9

SHA256
a7ddad29d22aa0009219120d59601af6d3cbd7b465eba9da67f08797ec90b403

SHA512
8efb66869aabdb3bdd5e938565e1316efd3f9879c3794f07a2c6d69c122d9613fd3d45a61782f7009b33d7c2386cecc017ec23dcb6b4b95d12794adff43b2a57

Download Submit
C:\Windows\System32\eFNwnTE.exe

Filesize
1.8MB

MD5
56561f9edbff4d0f035aa2c5a5dbdcb8

SHA1
df5466e93aa6a485cae8edb80936d87f04d104f9

SHA256
2a01319b0f68e84eda5dcb4cf4100481aceb420dcc4a27187479a9984d52b2c0

SHA512
f10cead62479aa6b4e764bad6b09a6edb41c9d951338537ab63d273d76edfb078a02122ada65f050a74434d89095e4b72e7764bc470b043c87fd2d3bffe79a52

Download Submit
C:\Windows\System32\fsFMhJj.exe

Filesize
1.8MB

MD5
7edceb626f5a6705a469abba9ae6ac9e

SHA1
dea99d8bbda671f9b10cbcbe17e5e96e1219e2f8

SHA256
2b93484a3db3279f8c09615a952d60229eb761b7f93f382ac45cebf1a4054713

SHA512
aac36f8986363011fcf0950b47b55731823a243f12224de7464d5f38ee511091fe43345b5d6a653e00c681eeecc9825c735ce3334b4dd8de10a08f5f7031a1ef

Download Submit
C:\Windows\System32\gzTGTTO.exe

Filesize
1.8MB

MD5
29b7b005d63794906267a42a4ad7822c

SHA1
cd435800b1604c6f41be9beb5dcb91b5c429288a

SHA256
ba903698d3c042139d1da76851697630a71f6dfdb77420199ce61afe04b85711

SHA512
324c84b541b0927795d9bb25024bd79b9282e8b1378c78710fcae66724fa295dadc57764f81cb94cd7c2394bd3379f5fc3831eb55978553f86f631a3b06ce37e

Download Submit
C:\Windows\System32\hbxieCg.exe

Filesize
1.8MB

MD5
cd2e452d57e172d53d015ca7a157d2c1

SHA1
5f958d7a533b77bf37c499d3defc6fcc6fe2c9ea

SHA256
f16c6edbdedb9574bc1961a87477ba681d74df30bdf2d26503a24ecb312c8de2

SHA512
4954f900bf0e61cf230fab9b1cde2fd08e35408894897d7c88e5ccd7e03b56a6c9579e4e3e6faec392f9b721febfbd07c32229bfafe5c11e7733c797ed46204d

Download Submit
C:\Windows\System32\hkEuSZG.exe

Filesize
1.8MB

MD5
53f185c440cbe924f5e93156cb177558

SHA1
f4f215f29815e6886ce56eccf29ff474484257b3

SHA256
ad73e7d06a8e81ace2326a12516ce8d2220b4f6d9cdad5da72a23fed0f916dcb

SHA512
7c853c13278d8709c2025f9788335f0d18265758eb299a8914c64d2155fc4598984826fbdc18c5f78d35f964931fe4c8588406e6208ab1dab5da51254e0aabf8

Download Submit
C:\Windows\System32\ivVOpsO.exe

Filesize
1.8MB

MD5
e581661121eef560021f67deb9635aba

SHA1
424844aa1581f2260bb29f266f1bedb78698566d

SHA256
14b22579ac0cc67fa237dd1fc029cf0ee751c06d4bbd4ba338607376809ba7b8

SHA512
7ddb4b9d1a9ffae6eba0c69683ba8ab0f8c5a2c5b79859ec337401e05b75a0639df59c428cfbddcb6e8f1d58f8dbeeee1c27c8474e3888ea43acb58f0788a640

Download Submit
C:\Windows\System32\jWEXAIa.exe

Filesize
1.8MB

MD5
2d2a7bebab7e4c8168f85b20fbc0be05

SHA1
c1c7f804f50e81f8d48025827ce8a7c62b47dbba

SHA256
c95b118b557121b91ea0c4070373ee43628b05a60042d79e300bf79e77ea5984

SHA512
49f7226e0b74bc23ee4ca7e5fdbcba9925d4d9c871849bf23e5047603df88cabc4b7dabcd316ea62eb0bae4a7747176beb6e7c4540eb1ecb7baaaf3fcb3fd38d

Download Submit
C:\Windows\System32\nkIkKCY.exe

Filesize
1.8MB

MD5
518998faade7312b33b46e5aa03b0509

SHA1
ccbc5dc547faf09ff143bd74d88c275884a6b01e

SHA256
a5d8cd43983bf50a37e745af20f51afab8a20617a5e7bcbd43a0b29c5a055db2

SHA512
8992ba129e899619316c40b0e4672217fba7d9fcc0c9bf13114b83d721008c0fa0d11af50f795dc423ee161f3772f2795b1978c7fcbfd02bf499e27ce9dd1455

Download Submit
C:\Windows\System32\qPFMDRn.exe

Filesize
1.8MB

MD5
1e8c7a8ca05204fc101e29cefdf15269

SHA1
897d944627ee458bdcf5fb3c40612968a606dc0b

SHA256
abe8d921e1368efb87e7c4c72ce232a7169ac2b22a43d781db6032e3ed6381ff

SHA512
b9dd7b3613608428c58c99de4913bf47d02133c86e7cde3c1ab22e0012eec1c8be2486b5167959a2d07ef7f0eb6f71730eeaf54ea1eb03822fa022e76b2c5828

Download Submit
C:\Windows\System32\rBMKtIR.exe

Filesize
1.8MB

MD5
60f30a651b7b62125bff4edb778afb99

SHA1
8be07b40525797fc441de40a89e980bdc92bf7dd

SHA256
3fe771bf5fb1376d62029ecdc2b2be6f26bd4234ad8a7c4bc7aca78480510d90

SHA512
89e601774e050d9c804562312b1f02c10098c304986380accd59db80c335cd333cdd6f38ae51bfaea31cc3de5cb65ce0f5783944332f2f3bc8162bc9cccf78e8

Download Submit
C:\Windows\System32\vFwXQoO.exe

Filesize
1.8MB

MD5
4ed448c42b4d58d08e2fe54a768de08c

SHA1
6669778f075b4e2b7ff35b533f7450442cf2fdcc

SHA256
fe0a1e43d534a7e211d36dee024f2b5f54b029d6ae3b60cf6a3f093f050e0c04

SHA512
9ac41da9473339e2eab4d88d8c41523b1e844338473db21faac076b3ad994661eb16da578eb57dcb0934ca1a0a39937037d3869007c956ccdcf23a8973827e55

Download Submit
C:\Windows\System32\vuVPDxW.exe

Filesize
1.8MB

MD5
95336001228266b96495f356035fd14f

SHA1
3fb7f5caee152116ae4ebacf15ad6a7bf88f0ef3

SHA256
85978bdd4df4469b237a017f7eb624f53eebb4c5376d281abaca45878d8be152

SHA512
3431fb3943239e4bd62a81be5ef5c4acfa0e3b6821288f438c4afd913892ceb4b408eaf4abd6057f5fb5a7739ebc5555727a1e3dd88aafd520e0f6b78c4d5aba

Download Submit
C:\Windows\System32\vxpsshI.exe

Filesize
1.8MB

MD5
24e3bd9246bfb685e7385b17a3388de5

SHA1
4828f9867d38873116393fc381098f60802e6952

SHA256
8dccd10eb945066245c7ef1f4baf020a982798c66fda8b89446eecf2faed7211

SHA512
2ceb50cead175282571938241d59845227352d3d030d1cbbe87d13c8701f67f9a05198a17909c6a96fccb567990417b36d5b598d60ec5c9620859a6baeb25f4d

Download Submit
C:\Windows\System32\wuMPQIZ.exe

Filesize
1.8MB

MD5
37b3d3c786cf3706bf1ae6f38b3cd869

SHA1
fc6f2d37e9c405fc7478459f884feb26b636bd88

SHA256
471043358a2b99890b3f9e375692a8d4e218671bf3487b609a06d47a8bef2628

SHA512
21d78e487a08497764f9ff86e84ecd51aabdb4b76babff6f06086e06592dbd7644b97a8dc39445a411b9a121cc99f9f90c9d6479704338789122fda098df21ff

Download Submit
C:\Windows\System32\xQSADOs.exe

Filesize
1.8MB

MD5
d2a2effa981009867f08fb312b938003

SHA1
c9ec877ab160cf15002847c735e65585a3f4c75d

SHA256
f5a49f440928f91ee2b10504927c4eea6cec50aaa27096502da62af33933567d

SHA512
4e8147198dcb01228cc93b261ef38acba08e2451a5620e5d4ec7b2fc48e73dca5e34a83591105c9f0ddb00633a643b80663b8420a47a06440ba8de55676acd05

Download Submit
C:\Windows\System32\yDmQntI.exe

Filesize
1.8MB

MD5
4becec9c17af2ad5c2575f9c5ddd3e29

SHA1
a3cae3380dfa2b6716cf88bfc124db459670f52e

SHA256
8fe21d7dd125b191f06d3d8d6dd672a528b6000f8de5c1302e32bc5179d67640

SHA512
4279772a52c8460c91630db95a8b7da1c09e1731615550b6ba2ab7257d5db49c91d46425c605c16f15d23a874b64728998870ac6ed3e8192c4e1c2805591db8e

Download Submit
memory/316-0-0x00007FF77DA10000-0x00007FF77DE01000-memory.dmp

Filesize
3.9MB

Download
memory/316-1-0x0000016FE1410000-0x0000016FE1420000-memory.dmp

Filesize
64KB

Download
memory/316-2029-0x00007FF77DA10000-0x00007FF77DE01000-memory.dmp

Filesize
3.9MB

Download
memory/904-391-0x00007FF7AAD00000-0x00007FF7AB0F1000-memory.dmp

Filesize
3.9MB

Download
memory/904-2074-0x00007FF7AAD00000-0x00007FF7AB0F1000-memory.dmp

Filesize
3.9MB

Download
memory/1084-2090-0x00007FF616A50000-0x00007FF616E41000-memory.dmp

Filesize
3.9MB

Download
memory/1084-405-0x00007FF616A50000-0x00007FF616E41000-memory.dmp

Filesize
3.9MB

Download
memory/1188-2046-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-39-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-2027-0x00007FF76C4B0000-0x00007FF76C8A1000-memory.dmp

Filesize
3.9MB

Download
memory/1344-45-0x00007FF699E30000-0x00007FF69A221000-memory.dmp

Filesize
3.9MB

Download
memory/1344-2044-0x00007FF699E30000-0x00007FF69A221000-memory.dmp

Filesize
3.9MB

Download
memory/1416-35-0x00007FF6B2520000-0x00007FF6B2911000-memory.dmp

Filesize
3.9MB

Download
memory/1416-2036-0x00007FF6B2520000-0x00007FF6B2911000-memory.dmp

Filesize
3.9MB

Download
memory/1468-2072-0x00007FF6FCD00000-0x00007FF6FD0F1000-memory.dmp

Filesize
3.9MB

Download
memory/1468-390-0x00007FF6FCD00000-0x00007FF6FD0F1000-memory.dmp

Filesize
3.9MB

Download
memory/1712-2062-0x00007FF7A8B30000-0x00007FF7A8F21000-memory.dmp

Filesize
3.9MB

Download
memory/1712-385-0x00007FF7A8B30000-0x00007FF7A8F21000-memory.dmp

Filesize
3.9MB

Download
memory/1972-2040-0x00007FF7279E0000-0x00007FF727DD1000-memory.dmp

Filesize
3.9MB

Download
memory/1972-43-0x00007FF7279E0000-0x00007FF727DD1000-memory.dmp

Filesize
3.9MB

Download
memory/1976-381-0x00007FF7C7F60000-0x00007FF7C8351000-memory.dmp

Filesize
3.9MB

Download
memory/1976-2056-0x00007FF7C7F60000-0x00007FF7C8351000-memory.dmp

Filesize
3.9MB

Download
memory/2504-2076-0x00007FF6D7DC0000-0x00007FF6D81B1000-memory.dmp

Filesize
3.9MB

Download
memory/2504-392-0x00007FF6D7DC0000-0x00007FF6D81B1000-memory.dmp

Filesize
3.9MB

Download
memory/2764-2054-0x00007FF71F480000-0x00007FF71F871000-memory.dmp

Filesize
3.9MB

Download
memory/2764-382-0x00007FF71F480000-0x00007FF71F871000-memory.dmp

Filesize
3.9MB

Download
memory/2840-2070-0x00007FF723B00000-0x00007FF723EF1000-memory.dmp

Filesize
3.9MB

Download
memory/2840-389-0x00007FF723B00000-0x00007FF723EF1000-memory.dmp

Filesize
3.9MB

Download
memory/3304-13-0x00007FF616E10000-0x00007FF617201000-memory.dmp

Filesize
3.9MB

Download
memory/3304-1993-0x00007FF616E10000-0x00007FF617201000-memory.dmp

Filesize
3.9MB

Download
memory/3304-2034-0x00007FF616E10000-0x00007FF617201000-memory.dmp

Filesize
3.9MB

Download
memory/3332-379-0x00007FF6E6BA0000-0x00007FF6E6F91000-memory.dmp

Filesize
3.9MB

Download
memory/3332-2050-0x00007FF6E6BA0000-0x00007FF6E6F91000-memory.dmp

Filesize
3.9MB

Download
memory/3336-2052-0x00007FF627740000-0x00007FF627B31000-memory.dmp

Filesize
3.9MB

Download
memory/3336-380-0x00007FF627740000-0x00007FF627B31000-memory.dmp

Filesize
3.9MB

Download
memory/3536-1994-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp

Filesize
3.9MB

Download
memory/3536-18-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp

Filesize
3.9MB

Download
memory/3536-2038-0x00007FF6FE8C0000-0x00007FF6FECB1000-memory.dmp

Filesize
3.9MB

Download
memory/3552-384-0x00007FF6CDFD0000-0x00007FF6CE3C1000-memory.dmp

Filesize
3.9MB

Download
memory/3552-2060-0x00007FF6CDFD0000-0x00007FF6CE3C1000-memory.dmp

Filesize
3.9MB

Download
memory/3576-2058-0x00007FF7BD540000-0x00007FF7BD931000-memory.dmp

Filesize
3.9MB

Download
memory/3576-383-0x00007FF7BD540000-0x00007FF7BD931000-memory.dmp

Filesize
3.9MB

Download
memory/3724-2042-0x00007FF703190000-0x00007FF703581000-memory.dmp

Filesize
3.9MB

Download
memory/3724-38-0x00007FF703190000-0x00007FF703581000-memory.dmp

Filesize
3.9MB

Download
memory/4408-2048-0x00007FF761790000-0x00007FF761B81000-memory.dmp

Filesize
3.9MB

Download
memory/4408-378-0x00007FF761790000-0x00007FF761B81000-memory.dmp

Filesize
3.9MB

Download
memory/4580-387-0x00007FF6B59B0000-0x00007FF6B5DA1000-memory.dmp

Filesize
3.9MB

Download
memory/4580-2066-0x00007FF6B59B0000-0x00007FF6B5DA1000-memory.dmp

Filesize
3.9MB

Download
memory/4864-2068-0x00007FF755740000-0x00007FF755B31000-memory.dmp

Filesize
3.9MB

Download
memory/4864-388-0x00007FF755740000-0x00007FF755B31000-memory.dmp

Filesize
3.9MB

Download
memory/4872-2079-0x00007FF7E23C0000-0x00007FF7E27B1000-memory.dmp

Filesize
3.9MB

Download
memory/4872-399-0x00007FF7E23C0000-0x00007FF7E27B1000-memory.dmp

Filesize
3.9MB

Download
memory/4880-2064-0x00007FF61C4E0000-0x00007FF61C8D1000-memory.dmp

Filesize
3.9MB

Download
memory/4880-386-0x00007FF61C4E0000-0x00007FF61C8D1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads