xmrig | ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1

Analysis

max time kernel
131s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20240611-en
resource tags

arch:x64arch:x86image:win10v2004-20240611-enlocale:en-usos:windows10-2004-x64system
submitted
29/06/2024, 13:54

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
Size

1.7MB
MD5

50dd203825c40218bf435c0b491a0410
SHA1

29e7f75c32ce5eca72dd2d2d127aca449762392b
SHA256

ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1
SHA512

88fb60d00c5c05cf33edf97ce59d87afcfd40526e55525124e4d113d379956cf499f8ffe72d30c33bed1bf6fdd20e31c0f74ae48e745b38cfe3baa3abc679a05
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5PbcmC3f/j8puLTX8yjoMnsKuPo4dXrv5hm:knw9oUUEEDl37jcmWHz7nsJJrv5hm

Score

10^/10

xmrig miner persistence privilege_escalation upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/4804-29-0x00007FF76E9E0000-0x00007FF76EDD1000-memory.dmp	xmrig
behavioral2/memory/3020-523-0x00007FF619670000-0x00007FF619A61000-memory.dmp	xmrig
behavioral2/memory/1828-524-0x00007FF6732C0000-0x00007FF6736B1000-memory.dmp	xmrig
behavioral2/memory/3988-526-0x00007FF6C90F0000-0x00007FF6C94E1000-memory.dmp	xmrig
behavioral2/memory/2460-527-0x00007FF749BA0000-0x00007FF749F91000-memory.dmp	xmrig
behavioral2/memory/1744-528-0x00007FF7A6670000-0x00007FF7A6A61000-memory.dmp	xmrig
behavioral2/memory/4964-525-0x00007FF65C7A0000-0x00007FF65CB91000-memory.dmp	xmrig
behavioral2/memory/4992-14-0x00007FF6ECA00000-0x00007FF6ECDF1000-memory.dmp	xmrig
behavioral2/memory/3656-534-0x00007FF7AEA90000-0x00007FF7AEE81000-memory.dmp	xmrig
behavioral2/memory/4332-533-0x00007FF61B960000-0x00007FF61BD51000-memory.dmp	xmrig
behavioral2/memory/4384-532-0x00007FF6D5800000-0x00007FF6D5BF1000-memory.dmp	xmrig
behavioral2/memory/1660-531-0x00007FF7A33C0000-0x00007FF7A37B1000-memory.dmp	xmrig
behavioral2/memory/3516-530-0x00007FF73A4E0000-0x00007FF73A8D1000-memory.dmp	xmrig
behavioral2/memory/540-529-0x00007FF7D8C20000-0x00007FF7D9011000-memory.dmp	xmrig
behavioral2/memory/4040-587-0x00007FF6A48B0000-0x00007FF6A4CA1000-memory.dmp	xmrig
behavioral2/memory/4656-591-0x00007FF608670000-0x00007FF608A61000-memory.dmp	xmrig
behavioral2/memory/3684-599-0x00007FF7CAC70000-0x00007FF7CB061000-memory.dmp	xmrig
behavioral2/memory/884-601-0x00007FF75E1D0000-0x00007FF75E5C1000-memory.dmp	xmrig
behavioral2/memory/5084-613-0x00007FF7EABE0000-0x00007FF7EAFD1000-memory.dmp	xmrig
behavioral2/memory/2456-580-0x00007FF7A4980000-0x00007FF7A4D71000-memory.dmp	xmrig
behavioral2/memory/736-625-0x00007FF7E3C70000-0x00007FF7E4061000-memory.dmp	xmrig
behavioral2/memory/4760-1989-0x00007FF665760000-0x00007FF665B51000-memory.dmp	xmrig
behavioral2/memory/3436-1990-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp	xmrig
behavioral2/memory/4992-1993-0x00007FF6ECA00000-0x00007FF6ECDF1000-memory.dmp	xmrig
behavioral2/memory/3692-2018-0x00007FF712590000-0x00007FF712981000-memory.dmp	xmrig
behavioral2/memory/3988-2043-0x00007FF6C90F0000-0x00007FF6C94E1000-memory.dmp	xmrig
behavioral2/memory/540-2049-0x00007FF7D8C20000-0x00007FF7D9011000-memory.dmp	xmrig
behavioral2/memory/1744-2047-0x00007FF7A6670000-0x00007FF7A6A61000-memory.dmp	xmrig
behavioral2/memory/4964-2041-0x00007FF65C7A0000-0x00007FF65CB91000-memory.dmp	xmrig
behavioral2/memory/1828-2039-0x00007FF6732C0000-0x00007FF6736B1000-memory.dmp	xmrig
behavioral2/memory/2460-2045-0x00007FF749BA0000-0x00007FF749F91000-memory.dmp	xmrig
behavioral2/memory/3020-2037-0x00007FF619670000-0x00007FF619A61000-memory.dmp	xmrig
behavioral2/memory/3436-2035-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp	xmrig
behavioral2/memory/4804-2033-0x00007FF76E9E0000-0x00007FF76EDD1000-memory.dmp	xmrig
behavioral2/memory/4760-2031-0x00007FF665760000-0x00007FF665B51000-memory.dmp	xmrig
behavioral2/memory/3692-2029-0x00007FF712590000-0x00007FF712981000-memory.dmp	xmrig
behavioral2/memory/3516-2051-0x00007FF73A4E0000-0x00007FF73A8D1000-memory.dmp	xmrig
behavioral2/memory/2456-2065-0x00007FF7A4980000-0x00007FF7A4D71000-memory.dmp	xmrig
behavioral2/memory/736-2076-0x00007FF7E3C70000-0x00007FF7E4061000-memory.dmp	xmrig
behavioral2/memory/4384-2069-0x00007FF6D5800000-0x00007FF6D5BF1000-memory.dmp	xmrig
behavioral2/memory/884-2067-0x00007FF75E1D0000-0x00007FF75E5C1000-memory.dmp	xmrig
behavioral2/memory/4332-2063-0x00007FF61B960000-0x00007FF61BD51000-memory.dmp	xmrig
behavioral2/memory/1660-2061-0x00007FF7A33C0000-0x00007FF7A37B1000-memory.dmp	xmrig
behavioral2/memory/4040-2059-0x00007FF6A48B0000-0x00007FF6A4CA1000-memory.dmp	xmrig
behavioral2/memory/3656-2057-0x00007FF7AEA90000-0x00007FF7AEE81000-memory.dmp	xmrig
behavioral2/memory/5084-2074-0x00007FF7EABE0000-0x00007FF7EAFD1000-memory.dmp	xmrig
behavioral2/memory/3684-2055-0x00007FF7CAC70000-0x00007FF7CB061000-memory.dmp	xmrig
behavioral2/memory/4656-2053-0x00007FF608670000-0x00007FF608A61000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
4760	iiRwhKI.exe
4992	GINTqMh.exe
3436	penIOqk.exe
4804	zDquPFQ.exe
3692	PFeFdsz.exe
3020	ucnVVEZ.exe
1828	ZYlMCNG.exe
4964	wiCBdfa.exe
3988	FfMMWRS.exe
2460	gmXaRDx.exe
1744	waOCiwy.exe
540	whtxRTI.exe
3516	ShICMkN.exe
1660	sbVeHst.exe
4384	efQeEtL.exe
4332	IIQYlbp.exe
3656	BEvAREb.exe
2456	CUJltHB.exe
4040	JorwEuG.exe
4656	fHaovcc.exe
3684	JBwPlYr.exe
884	tFKdPBS.exe
5084	ldOuJsc.exe
736	hoHPYQT.exe
1172	GHDptGw.exe
4672	HNZhBLr.exe
1684	iaIeqan.exe
3288	jgISKpm.exe
5016	NPCKZGW.exe
3844	roUEmRx.exe
4348	TvDmiAF.exe
3412	XHvPyeJ.exe
4436	CeUcLCw.exe
4940	jvmXMzy.exe
4712	pkuHpqL.exe
2436	LqCreWY.exe
836	oRYkACY.exe
4664	YdvlOkj.exe
2312	UpfOwPR.exe
640	XrEPTbE.exe
872	lTsseCK.exe
4336	vvPilcr.exe
3732	mjqTjXD.exe
2348	AxzCWoY.exe
744	aeviKfM.exe
3348	XIOOnFk.exe
936	nyEgbbn.exe
1960	WgcsiHa.exe
4172	ypFkMXJ.exe
2296	ILXnFBS.exe
408	UfoUOqh.exe
4800	pgWZcWy.exe
3832	xUMHTxY.exe
4892	wqoxNhV.exe
816	TfdNwrP.exe
456	iwqiwDI.exe
3100	gmJcrtZ.exe
2356	wYqsMpI.exe
372	uxNSZmr.exe
2288	czpMVPQ.exe
532	aITeIsI.exe
2736	eJqcCuP.exe
3556	GbGrSWi.exe
3188	RSWPjMr.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2432-0-0x00007FF60E6D0000-0x00007FF60EAC1000-memory.dmp	upx
behavioral2/files/0x000700000002345d-8.dat	upx
behavioral2/memory/4760-11-0x00007FF665760000-0x00007FF665B51000-memory.dmp	upx
behavioral2/files/0x000700000002345e-15.dat	upx
behavioral2/memory/3436-18-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp	upx
behavioral2/files/0x000700000002345f-24.dat	upx
behavioral2/memory/4804-29-0x00007FF76E9E0000-0x00007FF76EDD1000-memory.dmp	upx
behavioral2/memory/3692-30-0x00007FF712590000-0x00007FF712981000-memory.dmp	upx
behavioral2/files/0x0007000000023462-41.dat	upx
behavioral2/files/0x0007000000023463-46.dat	upx
behavioral2/files/0x0007000000023465-53.dat	upx
behavioral2/files/0x0007000000023466-58.dat	upx
behavioral2/files/0x0007000000023468-67.dat	upx
behavioral2/files/0x000700000002346b-83.dat	upx
behavioral2/files/0x000700000002346c-94.dat	upx
behavioral2/files/0x0007000000023475-139.dat	upx
behavioral2/memory/3020-523-0x00007FF619670000-0x00007FF619A61000-memory.dmp	upx
behavioral2/memory/1828-524-0x00007FF6732C0000-0x00007FF6736B1000-memory.dmp	upx
behavioral2/memory/3988-526-0x00007FF6C90F0000-0x00007FF6C94E1000-memory.dmp	upx
behavioral2/memory/2460-527-0x00007FF749BA0000-0x00007FF749F91000-memory.dmp	upx
behavioral2/memory/1744-528-0x00007FF7A6670000-0x00007FF7A6A61000-memory.dmp	upx
behavioral2/memory/4964-525-0x00007FF65C7A0000-0x00007FF65CB91000-memory.dmp	upx
behavioral2/files/0x000700000002347c-167.dat	upx
behavioral2/files/0x000700000002347a-164.dat	upx
behavioral2/files/0x000700000002347b-162.dat	upx
behavioral2/files/0x0007000000023479-156.dat	upx
behavioral2/files/0x0007000000023478-154.dat	upx
behavioral2/files/0x0007000000023477-146.dat	upx
behavioral2/files/0x0007000000023476-144.dat	upx
behavioral2/files/0x0007000000023474-134.dat	upx
behavioral2/files/0x0007000000023473-129.dat	upx
behavioral2/files/0x0007000000023472-124.dat	upx
behavioral2/files/0x0007000000023471-119.dat	upx
behavioral2/files/0x0007000000023470-114.dat	upx
behavioral2/files/0x000700000002346f-109.dat	upx
behavioral2/files/0x000700000002346e-101.dat	upx
behavioral2/files/0x000700000002346d-99.dat	upx
behavioral2/files/0x000700000002346a-81.dat	upx
behavioral2/files/0x0007000000023469-79.dat	upx
behavioral2/files/0x0007000000023467-69.dat	upx
behavioral2/files/0x0007000000023464-51.dat	upx
behavioral2/files/0x0007000000023461-39.dat	upx
behavioral2/files/0x0007000000023460-34.dat	upx
behavioral2/memory/4992-14-0x00007FF6ECA00000-0x00007FF6ECDF1000-memory.dmp	upx
behavioral2/files/0x0008000000023459-12.dat	upx
behavioral2/memory/3656-534-0x00007FF7AEA90000-0x00007FF7AEE81000-memory.dmp	upx
behavioral2/memory/4332-533-0x00007FF61B960000-0x00007FF61BD51000-memory.dmp	upx
behavioral2/memory/4384-532-0x00007FF6D5800000-0x00007FF6D5BF1000-memory.dmp	upx
behavioral2/memory/1660-531-0x00007FF7A33C0000-0x00007FF7A37B1000-memory.dmp	upx
behavioral2/memory/3516-530-0x00007FF73A4E0000-0x00007FF73A8D1000-memory.dmp	upx
behavioral2/memory/540-529-0x00007FF7D8C20000-0x00007FF7D9011000-memory.dmp	upx
behavioral2/memory/4040-587-0x00007FF6A48B0000-0x00007FF6A4CA1000-memory.dmp	upx
behavioral2/memory/4656-591-0x00007FF608670000-0x00007FF608A61000-memory.dmp	upx
behavioral2/memory/3684-599-0x00007FF7CAC70000-0x00007FF7CB061000-memory.dmp	upx
behavioral2/memory/884-601-0x00007FF75E1D0000-0x00007FF75E5C1000-memory.dmp	upx
behavioral2/memory/5084-613-0x00007FF7EABE0000-0x00007FF7EAFD1000-memory.dmp	upx
behavioral2/memory/2456-580-0x00007FF7A4980000-0x00007FF7A4D71000-memory.dmp	upx
behavioral2/memory/736-625-0x00007FF7E3C70000-0x00007FF7E4061000-memory.dmp	upx
behavioral2/memory/4760-1989-0x00007FF665760000-0x00007FF665B51000-memory.dmp	upx
behavioral2/memory/3436-1990-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp	upx
behavioral2/memory/4992-1993-0x00007FF6ECA00000-0x00007FF6ECDF1000-memory.dmp	upx
behavioral2/memory/3692-2018-0x00007FF712590000-0x00007FF712981000-memory.dmp	upx
behavioral2/memory/3988-2043-0x00007FF6C90F0000-0x00007FF6C94E1000-memory.dmp	upx
behavioral2/memory/540-2049-0x00007FF7D8C20000-0x00007FF7D9011000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\ZtCQoMx.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\fWpzNiL.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\uEiDDlZ.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\sGrBPMv.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\MHwQFqD.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\LqCreWY.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\PPbUNiT.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\zqIJYGA.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\AhxZUuq.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\JyfrqtL.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\aBpKTBg.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\AurFbUu.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\aKqdZYD.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\gmXaRDx.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\XwjwnsS.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\ypSENcz.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\jOsofyG.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\vpfwCek.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\wqoxNhV.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\bAqcpfC.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\xGZsXzE.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\ugAtWMT.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\iUOUggS.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\XrEPTbE.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\hfxLwZG.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\QDRcneC.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\NbkAqtC.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\xJGmxsl.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\ApoYdka.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\XWvJKFY.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\lfQTRuI.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\xdPGHQH.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\qRbTtQU.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\jZufvyo.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\UDgEUZl.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\efQeEtL.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\UIAmebi.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\tjGKEUv.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\nzJvjhf.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\CUJltHB.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\pgWZcWy.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\qtWPLte.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\zkzplWI.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\iwqiwDI.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\pgqNwtG.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\hXlPqSq.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\yNHbwSF.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\PELBDWW.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\vEnHANq.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\MrzgiuX.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\vSzpePV.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\cADXHhg.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\KZeqDlK.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\LZkkcjc.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\uydbkjw.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\ABPmttC.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\mlCVfcs.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\OGDqpbk.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\krwbcIR.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\YuroGvT.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\kEJNbDE.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\doTVMPg.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\iIVhqFG.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
File created	C:\Windows\System32\FnodFdw.exe	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe

Event Triggered Execution: Accessibility Features 1 TTPs
Windows contains accessibility features that may be used by adversaries to establish persistence and/or elevate privileges.
persistence privilege_escalation

Accessibility Features
T1546.008

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13088	dwm.exe
Token: SeChangeNotifyPrivilege	13088	dwm.exe
Token: 33	13088	dwm.exe
Token: SeIncBasePriorityPrivilege	13088	dwm.exe
Token: SeShutdownPrivilege	13088	dwm.exe
Token: SeCreatePagefilePrivilege	13088	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2432 wrote to memory of 4760	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	84
PID 2432 wrote to memory of 4760	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	84
PID 2432 wrote to memory of 4992	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	85
PID 2432 wrote to memory of 4992	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	85
PID 2432 wrote to memory of 3436	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	86
PID 2432 wrote to memory of 3436	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	86
PID 2432 wrote to memory of 4804	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	87
PID 2432 wrote to memory of 4804	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	87
PID 2432 wrote to memory of 3692	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	88
PID 2432 wrote to memory of 3692	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	88
PID 2432 wrote to memory of 3020	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	89
PID 2432 wrote to memory of 3020	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	89
PID 2432 wrote to memory of 1828	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	90
PID 2432 wrote to memory of 1828	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	90
PID 2432 wrote to memory of 4964	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	91
PID 2432 wrote to memory of 4964	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	91
PID 2432 wrote to memory of 3988	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	92
PID 2432 wrote to memory of 3988	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	92
PID 2432 wrote to memory of 2460	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	93
PID 2432 wrote to memory of 2460	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	93
PID 2432 wrote to memory of 1744	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	94
PID 2432 wrote to memory of 1744	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	94
PID 2432 wrote to memory of 540	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	95
PID 2432 wrote to memory of 540	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	95
PID 2432 wrote to memory of 3516	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	96
PID 2432 wrote to memory of 3516	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	96
PID 2432 wrote to memory of 1660	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	97
PID 2432 wrote to memory of 1660	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	97
PID 2432 wrote to memory of 4384	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	98
PID 2432 wrote to memory of 4384	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	98
PID 2432 wrote to memory of 4332	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	99
PID 2432 wrote to memory of 4332	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	99
PID 2432 wrote to memory of 3656	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	100
PID 2432 wrote to memory of 3656	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	100
PID 2432 wrote to memory of 2456	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	101
PID 2432 wrote to memory of 2456	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	101
PID 2432 wrote to memory of 4040	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	102
PID 2432 wrote to memory of 4040	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	102
PID 2432 wrote to memory of 4656	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	103
PID 2432 wrote to memory of 4656	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	103
PID 2432 wrote to memory of 3684	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	104
PID 2432 wrote to memory of 3684	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	104
PID 2432 wrote to memory of 884	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	105
PID 2432 wrote to memory of 884	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	105
PID 2432 wrote to memory of 5084	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	106
PID 2432 wrote to memory of 5084	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	106
PID 2432 wrote to memory of 736	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	107
PID 2432 wrote to memory of 736	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	107
PID 2432 wrote to memory of 1172	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	108
PID 2432 wrote to memory of 1172	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	108
PID 2432 wrote to memory of 4672	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	109
PID 2432 wrote to memory of 4672	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	109
PID 2432 wrote to memory of 1684	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	110
PID 2432 wrote to memory of 1684	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	110
PID 2432 wrote to memory of 3288	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	111
PID 2432 wrote to memory of 3288	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	111
PID 2432 wrote to memory of 5016	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	112
PID 2432 wrote to memory of 5016	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	112
PID 2432 wrote to memory of 3844	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	113
PID 2432 wrote to memory of 3844	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	113
PID 2432 wrote to memory of 4348	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	114
PID 2432 wrote to memory of 4348	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	114
PID 2432 wrote to memory of 3412	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	115
PID 2432 wrote to memory of 3412	2432	ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\ae347eb37836929df1b82455f9ea15bd1d18e8ed27d7e837e1d23c8d059ee0f1_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2432
- C:\Windows\System32\iiRwhKI.exe
  C:\Windows\System32\iiRwhKI.exe
  2⤵
  - Executes dropped EXE
  PID:4760
- C:\Windows\System32\GINTqMh.exe
  C:\Windows\System32\GINTqMh.exe
  2⤵
  - Executes dropped EXE
  PID:4992
- C:\Windows\System32\penIOqk.exe
  C:\Windows\System32\penIOqk.exe
  2⤵
  - Executes dropped EXE
  PID:3436
- C:\Windows\System32\zDquPFQ.exe
  C:\Windows\System32\zDquPFQ.exe
  2⤵
  - Executes dropped EXE
  PID:4804
- C:\Windows\System32\PFeFdsz.exe
  C:\Windows\System32\PFeFdsz.exe
  2⤵
  - Executes dropped EXE
  PID:3692
- C:\Windows\System32\ucnVVEZ.exe
  C:\Windows\System32\ucnVVEZ.exe
  2⤵
  - Executes dropped EXE
  PID:3020
- C:\Windows\System32\ZYlMCNG.exe
  C:\Windows\System32\ZYlMCNG.exe
  2⤵
  - Executes dropped EXE
  PID:1828
- C:\Windows\System32\wiCBdfa.exe
  C:\Windows\System32\wiCBdfa.exe
  2⤵
  - Executes dropped EXE
  PID:4964
- C:\Windows\System32\FfMMWRS.exe
  C:\Windows\System32\FfMMWRS.exe
  2⤵
  - Executes dropped EXE
  PID:3988
- C:\Windows\System32\gmXaRDx.exe
  C:\Windows\System32\gmXaRDx.exe
  2⤵
  - Executes dropped EXE
  PID:2460
- C:\Windows\System32\waOCiwy.exe
  C:\Windows\System32\waOCiwy.exe
  2⤵
  - Executes dropped EXE
  PID:1744
- C:\Windows\System32\whtxRTI.exe
  C:\Windows\System32\whtxRTI.exe
  2⤵
  - Executes dropped EXE
  PID:540
- C:\Windows\System32\ShICMkN.exe
  C:\Windows\System32\ShICMkN.exe
  2⤵
  - Executes dropped EXE
  PID:3516
- C:\Windows\System32\sbVeHst.exe
  C:\Windows\System32\sbVeHst.exe
  2⤵
  - Executes dropped EXE
  PID:1660
- C:\Windows\System32\efQeEtL.exe
  C:\Windows\System32\efQeEtL.exe
  2⤵
  - Executes dropped EXE
  PID:4384
- C:\Windows\System32\IIQYlbp.exe
  C:\Windows\System32\IIQYlbp.exe
  2⤵
  - Executes dropped EXE
  PID:4332
- C:\Windows\System32\BEvAREb.exe
  C:\Windows\System32\BEvAREb.exe
  2⤵
  - Executes dropped EXE
  PID:3656
- C:\Windows\System32\CUJltHB.exe
  C:\Windows\System32\CUJltHB.exe
  2⤵
  - Executes dropped EXE
  PID:2456
- C:\Windows\System32\JorwEuG.exe
  C:\Windows\System32\JorwEuG.exe
  2⤵
  - Executes dropped EXE
  PID:4040
- C:\Windows\System32\fHaovcc.exe
  C:\Windows\System32\fHaovcc.exe
  2⤵
  - Executes dropped EXE
  PID:4656
- C:\Windows\System32\JBwPlYr.exe
  C:\Windows\System32\JBwPlYr.exe
  2⤵
  - Executes dropped EXE
  PID:3684
- C:\Windows\System32\tFKdPBS.exe
  C:\Windows\System32\tFKdPBS.exe
  2⤵
  - Executes dropped EXE
  PID:884
- C:\Windows\System32\ldOuJsc.exe
  C:\Windows\System32\ldOuJsc.exe
  2⤵
  - Executes dropped EXE
  PID:5084
- C:\Windows\System32\hoHPYQT.exe
  C:\Windows\System32\hoHPYQT.exe
  2⤵
  - Executes dropped EXE
  PID:736
- C:\Windows\System32\GHDptGw.exe
  C:\Windows\System32\GHDptGw.exe
  2⤵
  - Executes dropped EXE
  PID:1172
- C:\Windows\System32\HNZhBLr.exe
  C:\Windows\System32\HNZhBLr.exe
  2⤵
  - Executes dropped EXE
  PID:4672
- C:\Windows\System32\iaIeqan.exe
  C:\Windows\System32\iaIeqan.exe
  2⤵
  - Executes dropped EXE
  PID:1684
- C:\Windows\System32\jgISKpm.exe
  C:\Windows\System32\jgISKpm.exe
  2⤵
  - Executes dropped EXE
  PID:3288
- C:\Windows\System32\NPCKZGW.exe
  C:\Windows\System32\NPCKZGW.exe
  2⤵
  - Executes dropped EXE
  PID:5016
- C:\Windows\System32\roUEmRx.exe
  C:\Windows\System32\roUEmRx.exe
  2⤵
  - Executes dropped EXE
  PID:3844
- C:\Windows\System32\TvDmiAF.exe
  C:\Windows\System32\TvDmiAF.exe
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Windows\System32\XHvPyeJ.exe
  C:\Windows\System32\XHvPyeJ.exe
  2⤵
  - Executes dropped EXE
  PID:3412
- C:\Windows\System32\CeUcLCw.exe
  C:\Windows\System32\CeUcLCw.exe
  2⤵
  - Executes dropped EXE
  PID:4436
- C:\Windows\System32\jvmXMzy.exe
  C:\Windows\System32\jvmXMzy.exe
  2⤵
  - Executes dropped EXE
  PID:4940
- C:\Windows\System32\pkuHpqL.exe
  C:\Windows\System32\pkuHpqL.exe
  2⤵
  - Executes dropped EXE
  PID:4712
- C:\Windows\System32\LqCreWY.exe
  C:\Windows\System32\LqCreWY.exe
  2⤵
  - Executes dropped EXE
  PID:2436
- C:\Windows\System32\oRYkACY.exe
  C:\Windows\System32\oRYkACY.exe
  2⤵
  - Executes dropped EXE
  PID:836
- C:\Windows\System32\YdvlOkj.exe
  C:\Windows\System32\YdvlOkj.exe
  2⤵
  - Executes dropped EXE
  PID:4664
- C:\Windows\System32\UpfOwPR.exe
  C:\Windows\System32\UpfOwPR.exe
  2⤵
  - Executes dropped EXE
  PID:2312
- C:\Windows\System32\XrEPTbE.exe
  C:\Windows\System32\XrEPTbE.exe
  2⤵
  - Executes dropped EXE
  PID:640
- C:\Windows\System32\lTsseCK.exe
  C:\Windows\System32\lTsseCK.exe
  2⤵
  - Executes dropped EXE
  PID:872
- C:\Windows\System32\vvPilcr.exe
  C:\Windows\System32\vvPilcr.exe
  2⤵
  - Executes dropped EXE
  PID:4336
- C:\Windows\System32\mjqTjXD.exe
  C:\Windows\System32\mjqTjXD.exe
  2⤵
  - Executes dropped EXE
  PID:3732
- C:\Windows\System32\AxzCWoY.exe
  C:\Windows\System32\AxzCWoY.exe
  2⤵
  - Executes dropped EXE
  PID:2348
- C:\Windows\System32\aeviKfM.exe
  C:\Windows\System32\aeviKfM.exe
  2⤵
  - Executes dropped EXE
  PID:744
- C:\Windows\System32\XIOOnFk.exe
  C:\Windows\System32\XIOOnFk.exe
  2⤵
  - Executes dropped EXE
  PID:3348
- C:\Windows\System32\nyEgbbn.exe
  C:\Windows\System32\nyEgbbn.exe
  2⤵
  - Executes dropped EXE
  PID:936
- C:\Windows\System32\WgcsiHa.exe
  C:\Windows\System32\WgcsiHa.exe
  2⤵
  - Executes dropped EXE
  PID:1960
- C:\Windows\System32\ypFkMXJ.exe
  C:\Windows\System32\ypFkMXJ.exe
  2⤵
  - Executes dropped EXE
  PID:4172
- C:\Windows\System32\ILXnFBS.exe
  C:\Windows\System32\ILXnFBS.exe
  2⤵
  - Executes dropped EXE
  PID:2296
- C:\Windows\System32\UfoUOqh.exe
  C:\Windows\System32\UfoUOqh.exe
  2⤵
  - Executes dropped EXE
  PID:408
- C:\Windows\System32\pgWZcWy.exe
  C:\Windows\System32\pgWZcWy.exe
  2⤵
  - Executes dropped EXE
  PID:4800
- C:\Windows\System32\xUMHTxY.exe
  C:\Windows\System32\xUMHTxY.exe
  2⤵
  - Executes dropped EXE
  PID:3832
- C:\Windows\System32\wqoxNhV.exe
  C:\Windows\System32\wqoxNhV.exe
  2⤵
  - Executes dropped EXE
  PID:4892
- C:\Windows\System32\TfdNwrP.exe
  C:\Windows\System32\TfdNwrP.exe
  2⤵
  - Executes dropped EXE
  PID:816
- C:\Windows\System32\iwqiwDI.exe
  C:\Windows\System32\iwqiwDI.exe
  2⤵
  - Executes dropped EXE
  PID:456
- C:\Windows\System32\gmJcrtZ.exe
  C:\Windows\System32\gmJcrtZ.exe
  2⤵
  - Executes dropped EXE
  PID:3100
- C:\Windows\System32\wYqsMpI.exe
  C:\Windows\System32\wYqsMpI.exe
  2⤵
  - Executes dropped EXE
  PID:2356
- C:\Windows\System32\uxNSZmr.exe
  C:\Windows\System32\uxNSZmr.exe
  2⤵
  - Executes dropped EXE
  PID:372
- C:\Windows\System32\czpMVPQ.exe
  C:\Windows\System32\czpMVPQ.exe
  2⤵
  - Executes dropped EXE
  PID:2288
- C:\Windows\System32\aITeIsI.exe
  C:\Windows\System32\aITeIsI.exe
  2⤵
  - Executes dropped EXE
  PID:532
- C:\Windows\System32\eJqcCuP.exe
  C:\Windows\System32\eJqcCuP.exe
  2⤵
  - Executes dropped EXE
  PID:2736
- C:\Windows\System32\GbGrSWi.exe
  C:\Windows\System32\GbGrSWi.exe
  2⤵
  - Executes dropped EXE
  PID:3556
- C:\Windows\System32\RSWPjMr.exe
  C:\Windows\System32\RSWPjMr.exe
  2⤵
  - Executes dropped EXE
  PID:3188
- C:\Windows\System32\hMrcMZI.exe
  C:\Windows\System32\hMrcMZI.exe
  2⤵
  PID:2536
- C:\Windows\System32\jvuXHdP.exe
  C:\Windows\System32\jvuXHdP.exe
  2⤵
  PID:3612
- C:\Windows\System32\trJwYGy.exe
  C:\Windows\System32\trJwYGy.exe
  2⤵
  PID:4720
- C:\Windows\System32\Ljptykf.exe
  C:\Windows\System32\Ljptykf.exe
  2⤵
  PID:2656
- C:\Windows\System32\AJltXuX.exe
  C:\Windows\System32\AJltXuX.exe
  2⤵
  PID:3264
- C:\Windows\System32\JcSJeBB.exe
  C:\Windows\System32\JcSJeBB.exe
  2⤵
  PID:4048
- C:\Windows\System32\qHrsGdK.exe
  C:\Windows\System32\qHrsGdK.exe
  2⤵
  PID:4668
- C:\Windows\System32\FekJkts.exe
  C:\Windows\System32\FekJkts.exe
  2⤵
  PID:4468
- C:\Windows\System32\peLmrkl.exe
  C:\Windows\System32\peLmrkl.exe
  2⤵
  PID:3572
- C:\Windows\System32\jRTZrAp.exe
  C:\Windows\System32\jRTZrAp.exe
  2⤵
  PID:1248
- C:\Windows\System32\DHkVHbi.exe
  C:\Windows\System32\DHkVHbi.exe
  2⤵
  PID:4308
- C:\Windows\System32\mmyFqzj.exe
  C:\Windows\System32\mmyFqzj.exe
  2⤵
  PID:5112
- C:\Windows\System32\pgqNwtG.exe
  C:\Windows\System32\pgqNwtG.exe
  2⤵
  PID:5132
- C:\Windows\System32\LbjnIQr.exe
  C:\Windows\System32\LbjnIQr.exe
  2⤵
  PID:5180
- C:\Windows\System32\utMjUHM.exe
  C:\Windows\System32\utMjUHM.exe
  2⤵
  PID:5200
- C:\Windows\System32\athYpjT.exe
  C:\Windows\System32\athYpjT.exe
  2⤵
  PID:5216
- C:\Windows\System32\xJgldlY.exe
  C:\Windows\System32\xJgldlY.exe
  2⤵
  PID:5244
- C:\Windows\System32\koOtkcI.exe
  C:\Windows\System32\koOtkcI.exe
  2⤵
  PID:5268
- C:\Windows\System32\YEiVGcv.exe
  C:\Windows\System32\YEiVGcv.exe
  2⤵
  PID:5296
- C:\Windows\System32\doTVMPg.exe
  C:\Windows\System32\doTVMPg.exe
  2⤵
  PID:5328
- C:\Windows\System32\KZeqDlK.exe
  C:\Windows\System32\KZeqDlK.exe
  2⤵
  PID:5356
- C:\Windows\System32\gjAPFHy.exe
  C:\Windows\System32\gjAPFHy.exe
  2⤵
  PID:5384
- C:\Windows\System32\OoopPOJ.exe
  C:\Windows\System32\OoopPOJ.exe
  2⤵
  PID:5412
- C:\Windows\System32\PFtuRua.exe
  C:\Windows\System32\PFtuRua.exe
  2⤵
  PID:5440
- C:\Windows\System32\ImiaUws.exe
  C:\Windows\System32\ImiaUws.exe
  2⤵
  PID:5468
- C:\Windows\System32\TSWFWcY.exe
  C:\Windows\System32\TSWFWcY.exe
  2⤵
  PID:5504
- C:\Windows\System32\XMziGSV.exe
  C:\Windows\System32\XMziGSV.exe
  2⤵
  PID:5524
- C:\Windows\System32\bAqcpfC.exe
  C:\Windows\System32\bAqcpfC.exe
  2⤵
  PID:5552
- C:\Windows\System32\FTYfePv.exe
  C:\Windows\System32\FTYfePv.exe
  2⤵
  PID:5580
- C:\Windows\System32\jMjPdfE.exe
  C:\Windows\System32\jMjPdfE.exe
  2⤵
  PID:5608
- C:\Windows\System32\XwjwnsS.exe
  C:\Windows\System32\XwjwnsS.exe
  2⤵
  PID:5636
- C:\Windows\System32\xdPGHQH.exe
  C:\Windows\System32\xdPGHQH.exe
  2⤵
  PID:5664
- C:\Windows\System32\MrzgiuX.exe
  C:\Windows\System32\MrzgiuX.exe
  2⤵
  PID:5692
- C:\Windows\System32\AnpxOGY.exe
  C:\Windows\System32\AnpxOGY.exe
  2⤵
  PID:5716
- C:\Windows\System32\ZtCQoMx.exe
  C:\Windows\System32\ZtCQoMx.exe
  2⤵
  PID:5744
- C:\Windows\System32\SBuShbt.exe
  C:\Windows\System32\SBuShbt.exe
  2⤵
  PID:5772
- C:\Windows\System32\nQjHVkZ.exe
  C:\Windows\System32\nQjHVkZ.exe
  2⤵
  PID:5800
- C:\Windows\System32\VgLRvxt.exe
  C:\Windows\System32\VgLRvxt.exe
  2⤵
  PID:5840
- C:\Windows\System32\NGYhbxl.exe
  C:\Windows\System32\NGYhbxl.exe
  2⤵
  PID:5860
- C:\Windows\System32\sPZDjMF.exe
  C:\Windows\System32\sPZDjMF.exe
  2⤵
  PID:5888
- C:\Windows\System32\iXhkoIZ.exe
  C:\Windows\System32\iXhkoIZ.exe
  2⤵
  PID:5916
- C:\Windows\System32\gZfBSso.exe
  C:\Windows\System32\gZfBSso.exe
  2⤵
  PID:5952
- C:\Windows\System32\DeIhvpR.exe
  C:\Windows\System32\DeIhvpR.exe
  2⤵
  PID:5972
- C:\Windows\System32\PPbUNiT.exe
  C:\Windows\System32\PPbUNiT.exe
  2⤵
  PID:6000
- C:\Windows\System32\NdUBjBY.exe
  C:\Windows\System32\NdUBjBY.exe
  2⤵
  PID:6028
- C:\Windows\System32\nZzaSfq.exe
  C:\Windows\System32\nZzaSfq.exe
  2⤵
  PID:6064
- C:\Windows\System32\iIVhqFG.exe
  C:\Windows\System32\iIVhqFG.exe
  2⤵
  PID:6084
- C:\Windows\System32\WImcZSq.exe
  C:\Windows\System32\WImcZSq.exe
  2⤵
  PID:6108
- C:\Windows\System32\ZdPJIwo.exe
  C:\Windows\System32\ZdPJIwo.exe
  2⤵
  PID:6140
- C:\Windows\System32\uYTrYDN.exe
  C:\Windows\System32\uYTrYDN.exe
  2⤵
  PID:4252
- C:\Windows\System32\uHazdaC.exe
  C:\Windows\System32\uHazdaC.exe
  2⤵
  PID:1016
- C:\Windows\System32\aPQHmeg.exe
  C:\Windows\System32\aPQHmeg.exe
  2⤵
  PID:1320
- C:\Windows\System32\srbIEVc.exe
  C:\Windows\System32\srbIEVc.exe
  2⤵
  PID:5056
- C:\Windows\System32\eUcezfw.exe
  C:\Windows\System32\eUcezfw.exe
  2⤵
  PID:5124
- C:\Windows\System32\aHuuUjo.exe
  C:\Windows\System32\aHuuUjo.exe
  2⤵
  PID:5188
- C:\Windows\System32\gyQatzL.exe
  C:\Windows\System32\gyQatzL.exe
  2⤵
  PID:5252
- C:\Windows\System32\KazSXKS.exe
  C:\Windows\System32\KazSXKS.exe
  2⤵
  PID:5320
- C:\Windows\System32\aAUAfuT.exe
  C:\Windows\System32\aAUAfuT.exe
  2⤵
  PID:5364
- C:\Windows\System32\JiZpwSz.exe
  C:\Windows\System32\JiZpwSz.exe
  2⤵
  PID:5448
- C:\Windows\System32\RkWlSIg.exe
  C:\Windows\System32\RkWlSIg.exe
  2⤵
  PID:5476
- C:\Windows\System32\uRbRzqV.exe
  C:\Windows\System32\uRbRzqV.exe
  2⤵
  PID:5560
- C:\Windows\System32\bjQxrLG.exe
  C:\Windows\System32\bjQxrLG.exe
  2⤵
  PID:5616
- C:\Windows\System32\MfWVLaq.exe
  C:\Windows\System32\MfWVLaq.exe
  2⤵
  PID:5676
- C:\Windows\System32\ofjRmaW.exe
  C:\Windows\System32\ofjRmaW.exe
  2⤵
  PID:5752
- C:\Windows\System32\fVjYXSZ.exe
  C:\Windows\System32\fVjYXSZ.exe
  2⤵
  PID:5816
- C:\Windows\System32\FnodFdw.exe
  C:\Windows\System32\FnodFdw.exe
  2⤵
  PID:5872
- C:\Windows\System32\lgLihhH.exe
  C:\Windows\System32\lgLihhH.exe
  2⤵
  PID:5924
- C:\Windows\System32\wmObgZa.exe
  C:\Windows\System32\wmObgZa.exe
  2⤵
  PID:6008
- C:\Windows\System32\NWovOHd.exe
  C:\Windows\System32\NWovOHd.exe
  2⤵
  PID:6040
- C:\Windows\System32\pCfBfSV.exe
  C:\Windows\System32\pCfBfSV.exe
  2⤵
  PID:6116
- C:\Windows\System32\AtXdqtK.exe
  C:\Windows\System32\AtXdqtK.exe
  2⤵
  PID:4540
- C:\Windows\System32\CXMzwfd.exe
  C:\Windows\System32\CXMzwfd.exe
  2⤵
  PID:4212
- C:\Windows\System32\PcDArlB.exe
  C:\Windows\System32\PcDArlB.exe
  2⤵
  PID:3360
- C:\Windows\System32\VFvnrLv.exe
  C:\Windows\System32\VFvnrLv.exe
  2⤵
  PID:5212
- C:\Windows\System32\BAiyzmm.exe
  C:\Windows\System32\BAiyzmm.exe
  2⤵
  PID:5376
- C:\Windows\System32\KtauHgm.exe
  C:\Windows\System32\KtauHgm.exe
  2⤵
  PID:5512
- C:\Windows\System32\UcAtSoC.exe
  C:\Windows\System32\UcAtSoC.exe
  2⤵
  PID:5648
- C:\Windows\System32\zKfNBlh.exe
  C:\Windows\System32\zKfNBlh.exe
  2⤵
  PID:5712
- C:\Windows\System32\bHOQTuB.exe
  C:\Windows\System32\bHOQTuB.exe
  2⤵
  PID:5848
- C:\Windows\System32\DgaTyWZ.exe
  C:\Windows\System32\DgaTyWZ.exe
  2⤵
  PID:5900
- C:\Windows\System32\zoYWtzJ.exe
  C:\Windows\System32\zoYWtzJ.exe
  2⤵
  PID:4440
- C:\Windows\System32\ipgzXUm.exe
  C:\Windows\System32\ipgzXUm.exe
  2⤵
  PID:4824
- C:\Windows\System32\XQbBKNi.exe
  C:\Windows\System32\XQbBKNi.exe
  2⤵
  PID:1552
- C:\Windows\System32\dLaqNnW.exe
  C:\Windows\System32\dLaqNnW.exe
  2⤵
  PID:5304
- C:\Windows\System32\recjDdg.exe
  C:\Windows\System32\recjDdg.exe
  2⤵
  PID:3384
- C:\Windows\System32\RhwUDWT.exe
  C:\Windows\System32\RhwUDWT.exe
  2⤵
  PID:1676
- C:\Windows\System32\CugIBdH.exe
  C:\Windows\System32\CugIBdH.exe
  2⤵
  PID:1428
- C:\Windows\System32\RHRgHzv.exe
  C:\Windows\System32\RHRgHzv.exe
  2⤵
  PID:440
- C:\Windows\System32\zHXGVzp.exe
  C:\Windows\System32\zHXGVzp.exe
  2⤵
  PID:5672
- C:\Windows\System32\oRIskhE.exe
  C:\Windows\System32\oRIskhE.exe
  2⤵
  PID:3216
- C:\Windows\System32\PwTnQRO.exe
  C:\Windows\System32\PwTnQRO.exe
  2⤵
  PID:4072
- C:\Windows\System32\onqmkaq.exe
  C:\Windows\System32\onqmkaq.exe
  2⤵
  PID:4784
- C:\Windows\System32\VkLbNuM.exe
  C:\Windows\System32\VkLbNuM.exe
  2⤵
  PID:2168
- C:\Windows\System32\paYrwOD.exe
  C:\Windows\System32\paYrwOD.exe
  2⤵
  PID:5020
- C:\Windows\System32\RgVOzUY.exe
  C:\Windows\System32\RgVOzUY.exe
  2⤵
  PID:2588
- C:\Windows\System32\DgsfRaI.exe
  C:\Windows\System32\DgsfRaI.exe
  2⤵
  PID:3924
- C:\Windows\System32\MUVAYLm.exe
  C:\Windows\System32\MUVAYLm.exe
  2⤵
  PID:812
- C:\Windows\System32\hDqsxXN.exe
  C:\Windows\System32\hDqsxXN.exe
  2⤵
  PID:1396
- C:\Windows\System32\VPzDahR.exe
  C:\Windows\System32\VPzDahR.exe
  2⤵
  PID:5732
- C:\Windows\System32\KYBojse.exe
  C:\Windows\System32\KYBojse.exe
  2⤵
  PID:4536
- C:\Windows\System32\OzjxPpE.exe
  C:\Windows\System32\OzjxPpE.exe
  2⤵
  PID:2724
- C:\Windows\System32\IKpRPEE.exe
  C:\Windows\System32\IKpRPEE.exe
  2⤵
  PID:964
- C:\Windows\System32\QWnkgkK.exe
  C:\Windows\System32\QWnkgkK.exe
  2⤵
  PID:3332
- C:\Windows\System32\lsTyEPd.exe
  C:\Windows\System32\lsTyEPd.exe
  2⤵
  PID:3440
- C:\Windows\System32\hvxhuAl.exe
  C:\Windows\System32\hvxhuAl.exe
  2⤵
  PID:1384
- C:\Windows\System32\EQwmBzH.exe
  C:\Windows\System32\EQwmBzH.exe
  2⤵
  PID:6160
- C:\Windows\System32\vSzpePV.exe
  C:\Windows\System32\vSzpePV.exe
  2⤵
  PID:6256
- C:\Windows\System32\oQOawhf.exe
  C:\Windows\System32\oQOawhf.exe
  2⤵
  PID:6272
- C:\Windows\System32\fWpzNiL.exe
  C:\Windows\System32\fWpzNiL.exe
  2⤵
  PID:6344
- C:\Windows\System32\YWLVtDV.exe
  C:\Windows\System32\YWLVtDV.exe
  2⤵
  PID:6368
- C:\Windows\System32\phxuVVG.exe
  C:\Windows\System32\phxuVVG.exe
  2⤵
  PID:6388
- C:\Windows\System32\uxkqlJI.exe
  C:\Windows\System32\uxkqlJI.exe
  2⤵
  PID:6404
- C:\Windows\System32\eMpSLXn.exe
  C:\Windows\System32\eMpSLXn.exe
  2⤵
  PID:6444
- C:\Windows\System32\ABPmttC.exe
  C:\Windows\System32\ABPmttC.exe
  2⤵
  PID:6464
- C:\Windows\System32\ZsFDJNE.exe
  C:\Windows\System32\ZsFDJNE.exe
  2⤵
  PID:6480
- C:\Windows\System32\xGZsXzE.exe
  C:\Windows\System32\xGZsXzE.exe
  2⤵
  PID:6504
- C:\Windows\System32\fPGwrlY.exe
  C:\Windows\System32\fPGwrlY.exe
  2⤵
  PID:6532
- C:\Windows\System32\xxSsBLf.exe
  C:\Windows\System32\xxSsBLf.exe
  2⤵
  PID:6552
- C:\Windows\System32\eLGnTtO.exe
  C:\Windows\System32\eLGnTtO.exe
  2⤵
  PID:6588
- C:\Windows\System32\usNskeH.exe
  C:\Windows\System32\usNskeH.exe
  2⤵
  PID:6608
- C:\Windows\System32\zGoADcn.exe
  C:\Windows\System32\zGoADcn.exe
  2⤵
  PID:6624
- C:\Windows\System32\EpSBMOs.exe
  C:\Windows\System32\EpSBMOs.exe
  2⤵
  PID:6672
- C:\Windows\System32\jwlplgx.exe
  C:\Windows\System32\jwlplgx.exe
  2⤵
  PID:6712
- C:\Windows\System32\LRSFXtJ.exe
  C:\Windows\System32\LRSFXtJ.exe
  2⤵
  PID:6732
- C:\Windows\System32\diFyyXR.exe
  C:\Windows\System32\diFyyXR.exe
  2⤵
  PID:6788
- C:\Windows\System32\hfxLwZG.exe
  C:\Windows\System32\hfxLwZG.exe
  2⤵
  PID:6844
- C:\Windows\System32\crOnLjt.exe
  C:\Windows\System32\crOnLjt.exe
  2⤵
  PID:6860
- C:\Windows\System32\gMImjLR.exe
  C:\Windows\System32\gMImjLR.exe
  2⤵
  PID:6876
- C:\Windows\System32\ypSENcz.exe
  C:\Windows\System32\ypSENcz.exe
  2⤵
  PID:6900
- C:\Windows\System32\RgCmZIg.exe
  C:\Windows\System32\RgCmZIg.exe
  2⤵
  PID:6980
- C:\Windows\System32\oTyyLvi.exe
  C:\Windows\System32\oTyyLvi.exe
  2⤵
  PID:6996
- C:\Windows\System32\kXTOeTh.exe
  C:\Windows\System32\kXTOeTh.exe
  2⤵
  PID:7012
- C:\Windows\System32\aMAMowy.exe
  C:\Windows\System32\aMAMowy.exe
  2⤵
  PID:7036
- C:\Windows\System32\voOKTpv.exe
  C:\Windows\System32\voOKTpv.exe
  2⤵
  PID:7060
- C:\Windows\System32\HfBOujn.exe
  C:\Windows\System32\HfBOujn.exe
  2⤵
  PID:7084
- C:\Windows\System32\KsPqnTQ.exe
  C:\Windows\System32\KsPqnTQ.exe
  2⤵
  PID:7104
- C:\Windows\System32\TRfWWrt.exe
  C:\Windows\System32\TRfWWrt.exe
  2⤵
  PID:7128
- C:\Windows\System32\rzcrxyk.exe
  C:\Windows\System32\rzcrxyk.exe
  2⤵
  PID:7152
- C:\Windows\System32\bSZBgHf.exe
  C:\Windows\System32\bSZBgHf.exe
  2⤵
  PID:4952
- C:\Windows\System32\gPQmoOm.exe
  C:\Windows\System32\gPQmoOm.exe
  2⤵
  PID:4956
- C:\Windows\System32\TFYvpPM.exe
  C:\Windows\System32\TFYvpPM.exe
  2⤵
  PID:1940
- C:\Windows\System32\ZsmnWnN.exe
  C:\Windows\System32\ZsmnWnN.exe
  2⤵
  PID:6224
- C:\Windows\System32\xPwyOOP.exe
  C:\Windows\System32\xPwyOOP.exe
  2⤵
  PID:6216
- C:\Windows\System32\BLdIFUB.exe
  C:\Windows\System32\BLdIFUB.exe
  2⤵
  PID:6188
- C:\Windows\System32\CfiHgpn.exe
  C:\Windows\System32\CfiHgpn.exe
  2⤵
  PID:6400
- C:\Windows\System32\McDDtLD.exe
  C:\Windows\System32\McDDtLD.exe
  2⤵
  PID:6548
- C:\Windows\System32\JKEjfhI.exe
  C:\Windows\System32\JKEjfhI.exe
  2⤵
  PID:6500
- C:\Windows\System32\rekwusT.exe
  C:\Windows\System32\rekwusT.exe
  2⤵
  PID:6636
- C:\Windows\System32\UtHVdUY.exe
  C:\Windows\System32\UtHVdUY.exe
  2⤵
  PID:6656
- C:\Windows\System32\zqIJYGA.exe
  C:\Windows\System32\zqIJYGA.exe
  2⤵
  PID:6700
- C:\Windows\System32\jHPPfRd.exe
  C:\Windows\System32\jHPPfRd.exe
  2⤵
  PID:6816
- C:\Windows\System32\mupfWIP.exe
  C:\Windows\System32\mupfWIP.exe
  2⤵
  PID:6784
- C:\Windows\System32\FMzSTDT.exe
  C:\Windows\System32\FMzSTDT.exe
  2⤵
  PID:6884
- C:\Windows\System32\gpacgpe.exe
  C:\Windows\System32\gpacgpe.exe
  2⤵
  PID:6936
- C:\Windows\System32\vlfzjjh.exe
  C:\Windows\System32\vlfzjjh.exe
  2⤵
  PID:6976
- C:\Windows\System32\PCpdvav.exe
  C:\Windows\System32\PCpdvav.exe
  2⤵
  PID:7024
- C:\Windows\System32\ELXRCUX.exe
  C:\Windows\System32\ELXRCUX.exe
  2⤵
  PID:7080
- C:\Windows\System32\oEYeTTc.exe
  C:\Windows\System32\oEYeTTc.exe
  2⤵
  PID:7120
- C:\Windows\System32\QfVQyRS.exe
  C:\Windows\System32\QfVQyRS.exe
  2⤵
  PID:3432
- C:\Windows\System32\gAGyErI.exe
  C:\Windows\System32\gAGyErI.exe
  2⤵
  PID:6268
- C:\Windows\System32\SXBcWZG.exe
  C:\Windows\System32\SXBcWZG.exe
  2⤵
  PID:6416
- C:\Windows\System32\KFuyygQ.exe
  C:\Windows\System32\KFuyygQ.exe
  2⤵
  PID:6728
- C:\Windows\System32\QGgYgxL.exe
  C:\Windows\System32\QGgYgxL.exe
  2⤵
  PID:2196
- C:\Windows\System32\QNfjhSs.exe
  C:\Windows\System32\QNfjhSs.exe
  2⤵
  PID:6964
- C:\Windows\System32\lUnwHRn.exe
  C:\Windows\System32\lUnwHRn.exe
  2⤵
  PID:7100
- C:\Windows\System32\ZUCSLXM.exe
  C:\Windows\System32\ZUCSLXM.exe
  2⤵
  PID:6988
- C:\Windows\System32\JYJvmFH.exe
  C:\Windows\System32\JYJvmFH.exe
  2⤵
  PID:4136
- C:\Windows\System32\hbVPPNU.exe
  C:\Windows\System32\hbVPPNU.exe
  2⤵
  PID:6476
- C:\Windows\System32\CVIVHou.exe
  C:\Windows\System32\CVIVHou.exe
  2⤵
  PID:6912
- C:\Windows\System32\IYZdFxa.exe
  C:\Windows\System32\IYZdFxa.exe
  2⤵
  PID:7172
- C:\Windows\System32\LDijlJg.exe
  C:\Windows\System32\LDijlJg.exe
  2⤵
  PID:7204
- C:\Windows\System32\CUUdWND.exe
  C:\Windows\System32\CUUdWND.exe
  2⤵
  PID:7244
- C:\Windows\System32\OsyCpaJ.exe
  C:\Windows\System32\OsyCpaJ.exe
  2⤵
  PID:7276
- C:\Windows\System32\mlCVfcs.exe
  C:\Windows\System32\mlCVfcs.exe
  2⤵
  PID:7292
- C:\Windows\System32\npvHkWy.exe
  C:\Windows\System32\npvHkWy.exe
  2⤵
  PID:7328
- C:\Windows\System32\JPiajOu.exe
  C:\Windows\System32\JPiajOu.exe
  2⤵
  PID:7356
- C:\Windows\System32\smQHuuD.exe
  C:\Windows\System32\smQHuuD.exe
  2⤵
  PID:7392
- C:\Windows\System32\GMUvLhi.exe
  C:\Windows\System32\GMUvLhi.exe
  2⤵
  PID:7412
- C:\Windows\System32\TuUuIuR.exe
  C:\Windows\System32\TuUuIuR.exe
  2⤵
  PID:7436
- C:\Windows\System32\mwMKbFw.exe
  C:\Windows\System32\mwMKbFw.exe
  2⤵
  PID:7452
- C:\Windows\System32\uIxqIEq.exe
  C:\Windows\System32\uIxqIEq.exe
  2⤵
  PID:7476
- C:\Windows\System32\GOGVSHP.exe
  C:\Windows\System32\GOGVSHP.exe
  2⤵
  PID:7496
- C:\Windows\System32\QBwsvDN.exe
  C:\Windows\System32\QBwsvDN.exe
  2⤵
  PID:7512
- C:\Windows\System32\vAUoBcW.exe
  C:\Windows\System32\vAUoBcW.exe
  2⤵
  PID:7532
- C:\Windows\System32\hkMfOyl.exe
  C:\Windows\System32\hkMfOyl.exe
  2⤵
  PID:7572
- C:\Windows\System32\aQolDBc.exe
  C:\Windows\System32\aQolDBc.exe
  2⤵
  PID:7632
- C:\Windows\System32\QDRcneC.exe
  C:\Windows\System32\QDRcneC.exe
  2⤵
  PID:7668
- C:\Windows\System32\zlsdbUe.exe
  C:\Windows\System32\zlsdbUe.exe
  2⤵
  PID:7708
- C:\Windows\System32\pNKpETf.exe
  C:\Windows\System32\pNKpETf.exe
  2⤵
  PID:7736
- C:\Windows\System32\VuopQwL.exe
  C:\Windows\System32\VuopQwL.exe
  2⤵
  PID:7760
- C:\Windows\System32\eCclqpS.exe
  C:\Windows\System32\eCclqpS.exe
  2⤵
  PID:7776
- C:\Windows\System32\DzKktQp.exe
  C:\Windows\System32\DzKktQp.exe
  2⤵
  PID:7796
- C:\Windows\System32\mkHUvKl.exe
  C:\Windows\System32\mkHUvKl.exe
  2⤵
  PID:7848
- C:\Windows\System32\GCRQTjH.exe
  C:\Windows\System32\GCRQTjH.exe
  2⤵
  PID:7872
- C:\Windows\System32\bOZwyFs.exe
  C:\Windows\System32\bOZwyFs.exe
  2⤵
  PID:7892
- C:\Windows\System32\dYOMTWV.exe
  C:\Windows\System32\dYOMTWV.exe
  2⤵
  PID:7920
- C:\Windows\System32\LLZiDgy.exe
  C:\Windows\System32\LLZiDgy.exe
  2⤵
  PID:7940
- C:\Windows\System32\aBpKTBg.exe
  C:\Windows\System32\aBpKTBg.exe
  2⤵
  PID:7972
- C:\Windows\System32\ZDiPlud.exe
  C:\Windows\System32\ZDiPlud.exe
  2⤵
  PID:7992
- C:\Windows\System32\arkwufq.exe
  C:\Windows\System32\arkwufq.exe
  2⤵
  PID:8024
- C:\Windows\System32\JRBRlSa.exe
  C:\Windows\System32\JRBRlSa.exe
  2⤵
  PID:8060
- C:\Windows\System32\RByBsQc.exe
  C:\Windows\System32\RByBsQc.exe
  2⤵
  PID:8080
- C:\Windows\System32\RiZaWQE.exe
  C:\Windows\System32\RiZaWQE.exe
  2⤵
  PID:8120
- C:\Windows\System32\TVlusFi.exe
  C:\Windows\System32\TVlusFi.exe
  2⤵
  PID:8160
- C:\Windows\System32\NbkAqtC.exe
  C:\Windows\System32\NbkAqtC.exe
  2⤵
  PID:8184
- C:\Windows\System32\ExMAOms.exe
  C:\Windows\System32\ExMAOms.exe
  2⤵
  PID:6932
- C:\Windows\System32\arrPQvS.exe
  C:\Windows\System32\arrPQvS.exe
  2⤵
  PID:7196
- C:\Windows\System32\iYwzihj.exe
  C:\Windows\System32\iYwzihj.exe
  2⤵
  PID:7228
- C:\Windows\System32\PBvFLyV.exe
  C:\Windows\System32\PBvFLyV.exe
  2⤵
  PID:7324
- C:\Windows\System32\ZnWlUhG.exe
  C:\Windows\System32\ZnWlUhG.exe
  2⤵
  PID:7348
- C:\Windows\System32\LhBuuUl.exe
  C:\Windows\System32\LhBuuUl.exe
  2⤵
  PID:7468
- C:\Windows\System32\afRemnW.exe
  C:\Windows\System32\afRemnW.exe
  2⤵
  PID:7508
- C:\Windows\System32\YIvXMzv.exe
  C:\Windows\System32\YIvXMzv.exe
  2⤵
  PID:7524
- C:\Windows\System32\XBKrJvO.exe
  C:\Windows\System32\XBKrJvO.exe
  2⤵
  PID:7644
- C:\Windows\System32\enJuoSk.exe
  C:\Windows\System32\enJuoSk.exe
  2⤵
  PID:7704
- C:\Windows\System32\zOasEbm.exe
  C:\Windows\System32\zOasEbm.exe
  2⤵
  PID:7788
- C:\Windows\System32\YQGjkJF.exe
  C:\Windows\System32\YQGjkJF.exe
  2⤵
  PID:7860
- C:\Windows\System32\fuZTWrY.exe
  C:\Windows\System32\fuZTWrY.exe
  2⤵
  PID:7884
- C:\Windows\System32\DnIFYJb.exe
  C:\Windows\System32\DnIFYJb.exe
  2⤵
  PID:7964
- C:\Windows\System32\gLbjZnJ.exe
  C:\Windows\System32\gLbjZnJ.exe
  2⤵
  PID:8008
- C:\Windows\System32\TSrxcCl.exe
  C:\Windows\System32\TSrxcCl.exe
  2⤵
  PID:8108
- C:\Windows\System32\xJGmxsl.exe
  C:\Windows\System32\xJGmxsl.exe
  2⤵
  PID:8116
- C:\Windows\System32\kqFKasl.exe
  C:\Windows\System32\kqFKasl.exe
  2⤵
  PID:7220
- C:\Windows\System32\dlAnGee.exe
  C:\Windows\System32\dlAnGee.exe
  2⤵
  PID:7268
- C:\Windows\System32\pecsEAj.exe
  C:\Windows\System32\pecsEAj.exe
  2⤵
  PID:6472
- C:\Windows\System32\yIbZNoR.exe
  C:\Windows\System32\yIbZNoR.exe
  2⤵
  PID:7460
- C:\Windows\System32\XCCfxQl.exe
  C:\Windows\System32\XCCfxQl.exe
  2⤵
  PID:7888
- C:\Windows\System32\IFvayyu.exe
  C:\Windows\System32\IFvayyu.exe
  2⤵
  PID:7932
- C:\Windows\System32\feQGxwP.exe
  C:\Windows\System32\feQGxwP.exe
  2⤵
  PID:8092
- C:\Windows\System32\XVqCPTc.exe
  C:\Windows\System32\XVqCPTc.exe
  2⤵
  PID:6956
- C:\Windows\System32\LSZWjGN.exe
  C:\Windows\System32\LSZWjGN.exe
  2⤵
  PID:7368
- C:\Windows\System32\laMCIyV.exe
  C:\Windows\System32\laMCIyV.exe
  2⤵
  PID:7936
- C:\Windows\System32\obhtYmz.exe
  C:\Windows\System32\obhtYmz.exe
  2⤵
  PID:7952
- C:\Windows\System32\HxDuvXu.exe
  C:\Windows\System32\HxDuvXu.exe
  2⤵
  PID:7420
- C:\Windows\System32\qtWPLte.exe
  C:\Windows\System32\qtWPLte.exe
  2⤵
  PID:8208
- C:\Windows\System32\nfQPYzk.exe
  C:\Windows\System32\nfQPYzk.exe
  2⤵
  PID:8228
- C:\Windows\System32\wylYnae.exe
  C:\Windows\System32\wylYnae.exe
  2⤵
  PID:8272
- C:\Windows\System32\zkzplWI.exe
  C:\Windows\System32\zkzplWI.exe
  2⤵
  PID:8288
- C:\Windows\System32\ugAtWMT.exe
  C:\Windows\System32\ugAtWMT.exe
  2⤵
  PID:8312
- C:\Windows\System32\jXdYbfp.exe
  C:\Windows\System32\jXdYbfp.exe
  2⤵
  PID:8368
- C:\Windows\System32\IDbolTM.exe
  C:\Windows\System32\IDbolTM.exe
  2⤵
  PID:8408
- C:\Windows\System32\nQRzbdA.exe
  C:\Windows\System32\nQRzbdA.exe
  2⤵
  PID:8432
- C:\Windows\System32\sqgHDPB.exe
  C:\Windows\System32\sqgHDPB.exe
  2⤵
  PID:8452
- C:\Windows\System32\AeCIvDd.exe
  C:\Windows\System32\AeCIvDd.exe
  2⤵
  PID:8476
- C:\Windows\System32\MCJCSaK.exe
  C:\Windows\System32\MCJCSaK.exe
  2⤵
  PID:8500
- C:\Windows\System32\tBmnOxn.exe
  C:\Windows\System32\tBmnOxn.exe
  2⤵
  PID:8520
- C:\Windows\System32\wPOVyXc.exe
  C:\Windows\System32\wPOVyXc.exe
  2⤵
  PID:8564
- C:\Windows\System32\slfLLxo.exe
  C:\Windows\System32\slfLLxo.exe
  2⤵
  PID:8580
- C:\Windows\System32\ZFSNVub.exe
  C:\Windows\System32\ZFSNVub.exe
  2⤵
  PID:8604
- C:\Windows\System32\bDgegXS.exe
  C:\Windows\System32\bDgegXS.exe
  2⤵
  PID:8624
- C:\Windows\System32\egeBfPy.exe
  C:\Windows\System32\egeBfPy.exe
  2⤵
  PID:8672
- C:\Windows\System32\pUJCjww.exe
  C:\Windows\System32\pUJCjww.exe
  2⤵
  PID:8704
- C:\Windows\System32\vRxyrWI.exe
  C:\Windows\System32\vRxyrWI.exe
  2⤵
  PID:8728
- C:\Windows\System32\jxijIww.exe
  C:\Windows\System32\jxijIww.exe
  2⤵
  PID:8748
- C:\Windows\System32\OUoUhAH.exe
  C:\Windows\System32\OUoUhAH.exe
  2⤵
  PID:8792
- C:\Windows\System32\xvQoZvJ.exe
  C:\Windows\System32\xvQoZvJ.exe
  2⤵
  PID:8816
- C:\Windows\System32\AmHptyf.exe
  C:\Windows\System32\AmHptyf.exe
  2⤵
  PID:8844
- C:\Windows\System32\edhVmwc.exe
  C:\Windows\System32\edhVmwc.exe
  2⤵
  PID:8868
- C:\Windows\System32\OjlxUKJ.exe
  C:\Windows\System32\OjlxUKJ.exe
  2⤵
  PID:8884
- C:\Windows\System32\rsbLMWa.exe
  C:\Windows\System32\rsbLMWa.exe
  2⤵
  PID:8932
- C:\Windows\System32\HguDDKE.exe
  C:\Windows\System32\HguDDKE.exe
  2⤵
  PID:8948
- C:\Windows\System32\QGuLTab.exe
  C:\Windows\System32\QGuLTab.exe
  2⤵
  PID:8984
- C:\Windows\System32\gbiQEmE.exe
  C:\Windows\System32\gbiQEmE.exe
  2⤵
  PID:9004
- C:\Windows\System32\CcBwoKS.exe
  C:\Windows\System32\CcBwoKS.exe
  2⤵
  PID:9028
- C:\Windows\System32\EEBngPQ.exe
  C:\Windows\System32\EEBngPQ.exe
  2⤵
  PID:9056
- C:\Windows\System32\exJiRVi.exe
  C:\Windows\System32\exJiRVi.exe
  2⤵
  PID:9112
- C:\Windows\System32\SvyangP.exe
  C:\Windows\System32\SvyangP.exe
  2⤵
  PID:9136
- C:\Windows\System32\UNBrgxb.exe
  C:\Windows\System32\UNBrgxb.exe
  2⤵
  PID:9156
- C:\Windows\System32\biQOpCV.exe
  C:\Windows\System32\biQOpCV.exe
  2⤵
  PID:9176
- C:\Windows\System32\pehSFGN.exe
  C:\Windows\System32\pehSFGN.exe
  2⤵
  PID:9200
- C:\Windows\System32\gxKFWml.exe
  C:\Windows\System32\gxKFWml.exe
  2⤵
  PID:6232
- C:\Windows\System32\umzUphQ.exe
  C:\Windows\System32\umzUphQ.exe
  2⤵
  PID:8256
- C:\Windows\System32\OGDqpbk.exe
  C:\Windows\System32\OGDqpbk.exe
  2⤵
  PID:8296
- C:\Windows\System32\OgdtVqQ.exe
  C:\Windows\System32\OgdtVqQ.exe
  2⤵
  PID:8344
- C:\Windows\System32\IhfcLvY.exe
  C:\Windows\System32\IhfcLvY.exe
  2⤵
  PID:8380
- C:\Windows\System32\PEMbqmZ.exe
  C:\Windows\System32\PEMbqmZ.exe
  2⤵
  PID:8484
- C:\Windows\System32\AtoyFcF.exe
  C:\Windows\System32\AtoyFcF.exe
  2⤵
  PID:8620
- C:\Windows\System32\sMKVZhJ.exe
  C:\Windows\System32\sMKVZhJ.exe
  2⤵
  PID:8692
- C:\Windows\System32\ymmtoBA.exe
  C:\Windows\System32\ymmtoBA.exe
  2⤵
  PID:8716
- C:\Windows\System32\sADULSj.exe
  C:\Windows\System32\sADULSj.exe
  2⤵
  PID:8740
- C:\Windows\System32\YTzPMXM.exe
  C:\Windows\System32\YTzPMXM.exe
  2⤵
  PID:8852
- C:\Windows\System32\WsxwVtn.exe
  C:\Windows\System32\WsxwVtn.exe
  2⤵
  PID:8860
- C:\Windows\System32\OOJRjho.exe
  C:\Windows\System32\OOJRjho.exe
  2⤵
  PID:8980
- C:\Windows\System32\SHDOTyv.exe
  C:\Windows\System32\SHDOTyv.exe
  2⤵
  PID:9020
- C:\Windows\System32\GnYvMrt.exe
  C:\Windows\System32\GnYvMrt.exe
  2⤵
  PID:9080
- C:\Windows\System32\PRIyCTu.exe
  C:\Windows\System32\PRIyCTu.exe
  2⤵
  PID:9120
- C:\Windows\System32\rfPxBUI.exe
  C:\Windows\System32\rfPxBUI.exe
  2⤵
  PID:9148
- C:\Windows\System32\hXiDkRH.exe
  C:\Windows\System32\hXiDkRH.exe
  2⤵
  PID:8284
- C:\Windows\System32\qIFZFFY.exe
  C:\Windows\System32\qIFZFFY.exe
  2⤵
  PID:1612
- C:\Windows\System32\GUtrJPS.exe
  C:\Windows\System32\GUtrJPS.exe
  2⤵
  PID:8644
- C:\Windows\System32\FIABrOI.exe
  C:\Windows\System32\FIABrOI.exe
  2⤵
  PID:8824
- C:\Windows\System32\BtCwTXd.exe
  C:\Windows\System32\BtCwTXd.exe
  2⤵
  PID:8892
- C:\Windows\System32\FxqBxGz.exe
  C:\Windows\System32\FxqBxGz.exe
  2⤵
  PID:9064
- C:\Windows\System32\jwIjyZh.exe
  C:\Windows\System32\jwIjyZh.exe
  2⤵
  PID:8528
- C:\Windows\System32\DgEaXNY.exe
  C:\Windows\System32\DgEaXNY.exe
  2⤵
  PID:9196
- C:\Windows\System32\RjjvGLl.exe
  C:\Windows\System32\RjjvGLl.exe
  2⤵
  PID:8924
- C:\Windows\System32\AgFaRxx.exe
  C:\Windows\System32\AgFaRxx.exe
  2⤵
  PID:8880
- C:\Windows\System32\mveVDUm.exe
  C:\Windows\System32\mveVDUm.exe
  2⤵
  PID:1312
- C:\Windows\System32\hIbyiMX.exe
  C:\Windows\System32\hIbyiMX.exe
  2⤵
  PID:9240
- C:\Windows\System32\EJbOWKt.exe
  C:\Windows\System32\EJbOWKt.exe
  2⤵
  PID:9256
- C:\Windows\System32\tKPIuYB.exe
  C:\Windows\System32\tKPIuYB.exe
  2⤵
  PID:9280
- C:\Windows\System32\ImrlbMF.exe
  C:\Windows\System32\ImrlbMF.exe
  2⤵
  PID:9300
- C:\Windows\System32\PvImsfU.exe
  C:\Windows\System32\PvImsfU.exe
  2⤵
  PID:9324
- C:\Windows\System32\eDNkIqA.exe
  C:\Windows\System32\eDNkIqA.exe
  2⤵
  PID:9384
- C:\Windows\System32\tkgenRx.exe
  C:\Windows\System32\tkgenRx.exe
  2⤵
  PID:9400
- C:\Windows\System32\LJjIVQB.exe
  C:\Windows\System32\LJjIVQB.exe
  2⤵
  PID:9420
- C:\Windows\System32\ubAOpTM.exe
  C:\Windows\System32\ubAOpTM.exe
  2⤵
  PID:9460
- C:\Windows\System32\AurFbUu.exe
  C:\Windows\System32\AurFbUu.exe
  2⤵
  PID:9488
- C:\Windows\System32\yhatefl.exe
  C:\Windows\System32\yhatefl.exe
  2⤵
  PID:9508
- C:\Windows\System32\xooliwc.exe
  C:\Windows\System32\xooliwc.exe
  2⤵
  PID:9532
- C:\Windows\System32\pAFLUYg.exe
  C:\Windows\System32\pAFLUYg.exe
  2⤵
  PID:9552
- C:\Windows\System32\wTKvbKV.exe
  C:\Windows\System32\wTKvbKV.exe
  2⤵
  PID:9572
- C:\Windows\System32\iSWYHUG.exe
  C:\Windows\System32\iSWYHUG.exe
  2⤵
  PID:9600
- C:\Windows\System32\sIYaGVX.exe
  C:\Windows\System32\sIYaGVX.exe
  2⤵
  PID:9628
- C:\Windows\System32\LZkkcjc.exe
  C:\Windows\System32\LZkkcjc.exe
  2⤵
  PID:9680
- C:\Windows\System32\AClSDND.exe
  C:\Windows\System32\AClSDND.exe
  2⤵
  PID:9696
- C:\Windows\System32\yawhEEQ.exe
  C:\Windows\System32\yawhEEQ.exe
  2⤵
  PID:9732
- C:\Windows\System32\uXjNnJu.exe
  C:\Windows\System32\uXjNnJu.exe
  2⤵
  PID:9752
- C:\Windows\System32\zJQKIEN.exe
  C:\Windows\System32\zJQKIEN.exe
  2⤵
  PID:9768
- C:\Windows\System32\QbPDzpz.exe
  C:\Windows\System32\QbPDzpz.exe
  2⤵
  PID:9804
- C:\Windows\System32\UveFGrD.exe
  C:\Windows\System32\UveFGrD.exe
  2⤵
  PID:9856
- C:\Windows\System32\qiNsjBP.exe
  C:\Windows\System32\qiNsjBP.exe
  2⤵
  PID:9888
- C:\Windows\System32\gNWTLdo.exe
  C:\Windows\System32\gNWTLdo.exe
  2⤵
  PID:9912
- C:\Windows\System32\LDXKhIg.exe
  C:\Windows\System32\LDXKhIg.exe
  2⤵
  PID:9940
- C:\Windows\System32\adoOVwN.exe
  C:\Windows\System32\adoOVwN.exe
  2⤵
  PID:9960
- C:\Windows\System32\yxpMiIO.exe
  C:\Windows\System32\yxpMiIO.exe
  2⤵
  PID:9984
- C:\Windows\System32\ghwWmfL.exe
  C:\Windows\System32\ghwWmfL.exe
  2⤵
  PID:10012
- C:\Windows\System32\KhrunwG.exe
  C:\Windows\System32\KhrunwG.exe
  2⤵
  PID:10032
- C:\Windows\System32\Iypmiwy.exe
  C:\Windows\System32\Iypmiwy.exe
  2⤵
  PID:10056
- C:\Windows\System32\jOsofyG.exe
  C:\Windows\System32\jOsofyG.exe
  2⤵
  PID:10092
- C:\Windows\System32\LZLroil.exe
  C:\Windows\System32\LZLroil.exe
  2⤵
  PID:10140
- C:\Windows\System32\HFPQriN.exe
  C:\Windows\System32\HFPQriN.exe
  2⤵
  PID:10156
- C:\Windows\System32\IqCXdqY.exe
  C:\Windows\System32\IqCXdqY.exe
  2⤵
  PID:10196
- C:\Windows\System32\ApoYdka.exe
  C:\Windows\System32\ApoYdka.exe
  2⤵
  PID:10216
- C:\Windows\System32\PbLqcpd.exe
  C:\Windows\System32\PbLqcpd.exe
  2⤵
  PID:10232
- C:\Windows\System32\qRbTtQU.exe
  C:\Windows\System32\qRbTtQU.exe
  2⤵
  PID:9252
- C:\Windows\System32\uWtLLxn.exe
  C:\Windows\System32\uWtLLxn.exe
  2⤵
  PID:9292
- C:\Windows\System32\jZufvyo.exe
  C:\Windows\System32\jZufvyo.exe
  2⤵
  PID:9356
- C:\Windows\System32\dmuMhom.exe
  C:\Windows\System32\dmuMhom.exe
  2⤵
  PID:9416
- C:\Windows\System32\eoeRKHM.exe
  C:\Windows\System32\eoeRKHM.exe
  2⤵
  PID:9472
- C:\Windows\System32\UjBDEVG.exe
  C:\Windows\System32\UjBDEVG.exe
  2⤵
  PID:9584
- C:\Windows\System32\fTOzNZo.exe
  C:\Windows\System32\fTOzNZo.exe
  2⤵
  PID:9608
- C:\Windows\System32\UdJtNAE.exe
  C:\Windows\System32\UdJtNAE.exe
  2⤵
  PID:9720
- C:\Windows\System32\Nihtvor.exe
  C:\Windows\System32\Nihtvor.exe
  2⤵
  PID:9800
- C:\Windows\System32\CyLkdDn.exe
  C:\Windows\System32\CyLkdDn.exe
  2⤵
  PID:9816
- C:\Windows\System32\hXlPqSq.exe
  C:\Windows\System32\hXlPqSq.exe
  2⤵
  PID:9884
- C:\Windows\System32\BurTvpE.exe
  C:\Windows\System32\BurTvpE.exe
  2⤵
  PID:9996
- C:\Windows\System32\yDGsUFC.exe
  C:\Windows\System32\yDGsUFC.exe
  2⤵
  PID:2764
- C:\Windows\System32\IkRAKrk.exe
  C:\Windows\System32\IkRAKrk.exe
  2⤵
  PID:10128
- C:\Windows\System32\zVrSXHA.exe
  C:\Windows\System32\zVrSXHA.exe
  2⤵
  PID:10148
- C:\Windows\System32\rcvgzkE.exe
  C:\Windows\System32\rcvgzkE.exe
  2⤵
  PID:9208
- C:\Windows\System32\FDyNRTC.exe
  C:\Windows\System32\FDyNRTC.exe
  2⤵
  PID:9264
- C:\Windows\System32\VMRBiCJ.exe
  C:\Windows\System32\VMRBiCJ.exe
  2⤵
  PID:9528
- C:\Windows\System32\hBwzLpt.exe
  C:\Windows\System32\hBwzLpt.exe
  2⤵
  PID:9432
- C:\Windows\System32\jmPUnvb.exe
  C:\Windows\System32\jmPUnvb.exe
  2⤵
  PID:9544
- C:\Windows\System32\IvDrvNB.exe
  C:\Windows\System32\IvDrvNB.exe
  2⤵
  PID:9932
- C:\Windows\System32\jVkTCUV.exe
  C:\Windows\System32\jVkTCUV.exe
  2⤵
  PID:9980
- C:\Windows\System32\xHxslcm.exe
  C:\Windows\System32\xHxslcm.exe
  2⤵
  PID:10164
- C:\Windows\System32\YEetgNY.exe
  C:\Windows\System32\YEetgNY.exe
  2⤵
  PID:9036
- C:\Windows\System32\sxQmqzU.exe
  C:\Windows\System32\sxQmqzU.exe
  2⤵
  PID:9332
- C:\Windows\System32\NwsrVhr.exe
  C:\Windows\System32\NwsrVhr.exe
  2⤵
  PID:9868
- C:\Windows\System32\FGZykDo.exe
  C:\Windows\System32\FGZykDo.exe
  2⤵
  PID:10212
- C:\Windows\System32\UIAmebi.exe
  C:\Windows\System32\UIAmebi.exe
  2⤵
  PID:10280
- C:\Windows\System32\YudMPJX.exe
  C:\Windows\System32\YudMPJX.exe
  2⤵
  PID:10332
- C:\Windows\System32\mjXJPCC.exe
  C:\Windows\System32\mjXJPCC.exe
  2⤵
  PID:10364
- C:\Windows\System32\cLNdsJi.exe
  C:\Windows\System32\cLNdsJi.exe
  2⤵
  PID:10380
- C:\Windows\System32\BEuclDn.exe
  C:\Windows\System32\BEuclDn.exe
  2⤵
  PID:10420
- C:\Windows\System32\QNOWjNx.exe
  C:\Windows\System32\QNOWjNx.exe
  2⤵
  PID:10444
- C:\Windows\System32\QfPnhkj.exe
  C:\Windows\System32\QfPnhkj.exe
  2⤵
  PID:10480
- C:\Windows\System32\EkGrkWB.exe
  C:\Windows\System32\EkGrkWB.exe
  2⤵
  PID:10528
- C:\Windows\System32\XIpXoOJ.exe
  C:\Windows\System32\XIpXoOJ.exe
  2⤵
  PID:10544
- C:\Windows\System32\pFGDLBo.exe
  C:\Windows\System32\pFGDLBo.exe
  2⤵
  PID:10560
- C:\Windows\System32\rGjRnDn.exe
  C:\Windows\System32\rGjRnDn.exe
  2⤵
  PID:10584
- C:\Windows\System32\zhgzaMW.exe
  C:\Windows\System32\zhgzaMW.exe
  2⤵
  PID:10620
- C:\Windows\System32\IooUuCs.exe
  C:\Windows\System32\IooUuCs.exe
  2⤵
  PID:10648
- C:\Windows\System32\VqTiwlw.exe
  C:\Windows\System32\VqTiwlw.exe
  2⤵
  PID:10664
- C:\Windows\System32\dGVDVSe.exe
  C:\Windows\System32\dGVDVSe.exe
  2⤵
  PID:10692
- C:\Windows\System32\FJEQpGn.exe
  C:\Windows\System32\FJEQpGn.exe
  2⤵
  PID:10716
- C:\Windows\System32\LAfZAvg.exe
  C:\Windows\System32\LAfZAvg.exe
  2⤵
  PID:10744
- C:\Windows\System32\dDzXari.exe
  C:\Windows\System32\dDzXari.exe
  2⤵
  PID:10760
- C:\Windows\System32\wBYbqeu.exe
  C:\Windows\System32\wBYbqeu.exe
  2⤵
  PID:10796
- C:\Windows\System32\nTSHyAo.exe
  C:\Windows\System32\nTSHyAo.exe
  2⤵
  PID:10836
- C:\Windows\System32\qZqJqNn.exe
  C:\Windows\System32\qZqJqNn.exe
  2⤵
  PID:10876
- C:\Windows\System32\dhegyjs.exe
  C:\Windows\System32\dhegyjs.exe
  2⤵
  PID:10896
- C:\Windows\System32\BUPWvxn.exe
  C:\Windows\System32\BUPWvxn.exe
  2⤵
  PID:10916
- C:\Windows\System32\pPCZuVC.exe
  C:\Windows\System32\pPCZuVC.exe
  2⤵
  PID:10948
- C:\Windows\System32\OMLcHsa.exe
  C:\Windows\System32\OMLcHsa.exe
  2⤵
  PID:10972
- C:\Windows\System32\NlSpNCS.exe
  C:\Windows\System32\NlSpNCS.exe
  2⤵
  PID:10988
- C:\Windows\System32\KILapZo.exe
  C:\Windows\System32\KILapZo.exe
  2⤵
  PID:11016
- C:\Windows\System32\Lnkgdny.exe
  C:\Windows\System32\Lnkgdny.exe
  2⤵
  PID:11040
- C:\Windows\System32\rfRvYhW.exe
  C:\Windows\System32\rfRvYhW.exe
  2⤵
  PID:11080
- C:\Windows\System32\xXJPsWP.exe
  C:\Windows\System32\xXJPsWP.exe
  2⤵
  PID:11108
- C:\Windows\System32\XMORkHx.exe
  C:\Windows\System32\XMORkHx.exe
  2⤵
  PID:11132
- C:\Windows\System32\QwbQzBm.exe
  C:\Windows\System32\QwbQzBm.exe
  2⤵
  PID:11180
- C:\Windows\System32\krwbcIR.exe
  C:\Windows\System32\krwbcIR.exe
  2⤵
  PID:11204
- C:\Windows\System32\XUEgiwo.exe
  C:\Windows\System32\XUEgiwo.exe
  2⤵
  PID:11224
- C:\Windows\System32\Nscqedx.exe
  C:\Windows\System32\Nscqedx.exe
  2⤵
  PID:8940
- C:\Windows\System32\MQmXsqD.exe
  C:\Windows\System32\MQmXsqD.exe
  2⤵
  PID:10024
- C:\Windows\System32\cUKQdyF.exe
  C:\Windows\System32\cUKQdyF.exe
  2⤵
  PID:10304
- C:\Windows\System32\GicIHiS.exe
  C:\Windows\System32\GicIHiS.exe
  2⤵
  PID:10340
- C:\Windows\System32\ftqtlsE.exe
  C:\Windows\System32\ftqtlsE.exe
  2⤵
  PID:10404
- C:\Windows\System32\DYvoHCn.exe
  C:\Windows\System32\DYvoHCn.exe
  2⤵
  PID:10452
- C:\Windows\System32\mJOXRta.exe
  C:\Windows\System32\mJOXRta.exe
  2⤵
  PID:10516
- C:\Windows\System32\arqQhpl.exe
  C:\Windows\System32\arqQhpl.exe
  2⤵
  PID:10552
- C:\Windows\System32\XSCywZl.exe
  C:\Windows\System32\XSCywZl.exe
  2⤵
  PID:10640
- C:\Windows\System32\UgTUJRM.exe
  C:\Windows\System32\UgTUJRM.exe
  2⤵
  PID:10772
- C:\Windows\System32\oiSUxJx.exe
  C:\Windows\System32\oiSUxJx.exe
  2⤵
  PID:10780
- C:\Windows\System32\synthll.exe
  C:\Windows\System32\synthll.exe
  2⤵
  PID:10844
- C:\Windows\System32\uDtpNsH.exe
  C:\Windows\System32\uDtpNsH.exe
  2⤵
  PID:10884
- C:\Windows\System32\wzCcgHD.exe
  C:\Windows\System32\wzCcgHD.exe
  2⤵
  PID:10960
- C:\Windows\System32\rXybJEy.exe
  C:\Windows\System32\rXybJEy.exe
  2⤵
  PID:11092
- C:\Windows\System32\shcfVma.exe
  C:\Windows\System32\shcfVma.exe
  2⤵
  PID:11144
- C:\Windows\System32\yjPGpuy.exe
  C:\Windows\System32\yjPGpuy.exe
  2⤵
  PID:11244
- C:\Windows\System32\tjGKEUv.exe
  C:\Windows\System32\tjGKEUv.exe
  2⤵
  PID:9624
- C:\Windows\System32\cozqdCx.exe
  C:\Windows\System32\cozqdCx.exe
  2⤵
  PID:10260
- C:\Windows\System32\pXZMLxg.exe
  C:\Windows\System32\pXZMLxg.exe
  2⤵
  PID:10328
- C:\Windows\System32\VwsmLdk.exe
  C:\Windows\System32\VwsmLdk.exe
  2⤵
  PID:10456
- C:\Windows\System32\krjxmnO.exe
  C:\Windows\System32\krjxmnO.exe
  2⤵
  PID:10864
- C:\Windows\System32\JiSKgcA.exe
  C:\Windows\System32\JiSKgcA.exe
  2⤵
  PID:10788
- C:\Windows\System32\hxknDAm.exe
  C:\Windows\System32\hxknDAm.exe
  2⤵
  PID:11212
- C:\Windows\System32\ESLjoNe.exe
  C:\Windows\System32\ESLjoNe.exe
  2⤵
  PID:10288
- C:\Windows\System32\sRhNkvt.exe
  C:\Windows\System32\sRhNkvt.exe
  2⤵
  PID:10700
- C:\Windows\System32\DvKtsJr.exe
  C:\Windows\System32\DvKtsJr.exe
  2⤵
  PID:10828
- C:\Windows\System32\nIsLYlN.exe
  C:\Windows\System32\nIsLYlN.exe
  2⤵
  PID:11028
- C:\Windows\System32\ZbJIhWn.exe
  C:\Windows\System32\ZbJIhWn.exe
  2⤵
  PID:10440
- C:\Windows\System32\PTdKfKx.exe
  C:\Windows\System32\PTdKfKx.exe
  2⤵
  PID:11288
- C:\Windows\System32\aKqdZYD.exe
  C:\Windows\System32\aKqdZYD.exe
  2⤵
  PID:11308
- C:\Windows\System32\BrpPEmu.exe
  C:\Windows\System32\BrpPEmu.exe
  2⤵
  PID:11336
- C:\Windows\System32\fJDZSDT.exe
  C:\Windows\System32\fJDZSDT.exe
  2⤵
  PID:11380
- C:\Windows\System32\pHexdiI.exe
  C:\Windows\System32\pHexdiI.exe
  2⤵
  PID:11404
- C:\Windows\System32\BUrCrYl.exe
  C:\Windows\System32\BUrCrYl.exe
  2⤵
  PID:11440
- C:\Windows\System32\ZkbSoPZ.exe
  C:\Windows\System32\ZkbSoPZ.exe
  2⤵
  PID:11488
- C:\Windows\System32\oyeRDgt.exe
  C:\Windows\System32\oyeRDgt.exe
  2⤵
  PID:11508
- C:\Windows\System32\Ijtldvf.exe
  C:\Windows\System32\Ijtldvf.exe
  2⤵
  PID:11532
- C:\Windows\System32\PfLedkx.exe
  C:\Windows\System32\PfLedkx.exe
  2⤵
  PID:11548
- C:\Windows\System32\UwYiKra.exe
  C:\Windows\System32\UwYiKra.exe
  2⤵
  PID:11568
- C:\Windows\System32\QrRbqjP.exe
  C:\Windows\System32\QrRbqjP.exe
  2⤵
  PID:11596
- C:\Windows\System32\XWvJKFY.exe
  C:\Windows\System32\XWvJKFY.exe
  2⤵
  PID:11612
- C:\Windows\System32\ETFSAVm.exe
  C:\Windows\System32\ETFSAVm.exe
  2⤵
  PID:11628
- C:\Windows\System32\wOjLXwC.exe
  C:\Windows\System32\wOjLXwC.exe
  2⤵
  PID:11652
- C:\Windows\System32\NxLajlO.exe
  C:\Windows\System32\NxLajlO.exe
  2⤵
  PID:11668
- C:\Windows\System32\ZsxoGBN.exe
  C:\Windows\System32\ZsxoGBN.exe
  2⤵
  PID:11688
- C:\Windows\System32\UsSxwRg.exe
  C:\Windows\System32\UsSxwRg.exe
  2⤵
  PID:11708
- C:\Windows\System32\njQsNeC.exe
  C:\Windows\System32\njQsNeC.exe
  2⤵
  PID:11756
- C:\Windows\System32\eIgmqaz.exe
  C:\Windows\System32\eIgmqaz.exe
  2⤵
  PID:11816
- C:\Windows\System32\VTgZZro.exe
  C:\Windows\System32\VTgZZro.exe
  2⤵
  PID:11872
- C:\Windows\System32\iUOUggS.exe
  C:\Windows\System32\iUOUggS.exe
  2⤵
  PID:11892
- C:\Windows\System32\rRvTbAD.exe
  C:\Windows\System32\rRvTbAD.exe
  2⤵
  PID:11912
- C:\Windows\System32\AHPWHJA.exe
  C:\Windows\System32\AHPWHJA.exe
  2⤵
  PID:11956
- C:\Windows\System32\YuroGvT.exe
  C:\Windows\System32\YuroGvT.exe
  2⤵
  PID:11972
- C:\Windows\System32\bwdvpCa.exe
  C:\Windows\System32\bwdvpCa.exe
  2⤵
  PID:11992
- C:\Windows\System32\EHskRWB.exe
  C:\Windows\System32\EHskRWB.exe
  2⤵
  PID:12024
- C:\Windows\System32\JTuSnyK.exe
  C:\Windows\System32\JTuSnyK.exe
  2⤵
  PID:12060
- C:\Windows\System32\dNwmTAq.exe
  C:\Windows\System32\dNwmTAq.exe
  2⤵
  PID:12080
- C:\Windows\System32\ysZxuJj.exe
  C:\Windows\System32\ysZxuJj.exe
  2⤵
  PID:12096
- C:\Windows\System32\nvktKms.exe
  C:\Windows\System32\nvktKms.exe
  2⤵
  PID:12120
- C:\Windows\System32\vpfwCek.exe
  C:\Windows\System32\vpfwCek.exe
  2⤵
  PID:12140
- C:\Windows\System32\EvgHBwU.exe
  C:\Windows\System32\EvgHBwU.exe
  2⤵
  PID:12156
- C:\Windows\System32\EAOtpqY.exe
  C:\Windows\System32\EAOtpqY.exe
  2⤵
  PID:12176
- C:\Windows\System32\FKvNZIP.exe
  C:\Windows\System32\FKvNZIP.exe
  2⤵
  PID:12196
- C:\Windows\System32\BLOvSHU.exe
  C:\Windows\System32\BLOvSHU.exe
  2⤵
  PID:12224
- C:\Windows\System32\mNSdmKt.exe
  C:\Windows\System32\mNSdmKt.exe
  2⤵
  PID:12264
- C:\Windows\System32\TsoaGwK.exe
  C:\Windows\System32\TsoaGwK.exe
  2⤵
  PID:11284
- C:\Windows\System32\pzlQOQX.exe
  C:\Windows\System32\pzlQOQX.exe
  2⤵
  PID:11320
- C:\Windows\System32\zLGLmlE.exe
  C:\Windows\System32\zLGLmlE.exe
  2⤵
  PID:11344
- C:\Windows\System32\TcsSpRo.exe
  C:\Windows\System32\TcsSpRo.exe
  2⤵
  PID:11396
- C:\Windows\System32\uEiDDlZ.exe
  C:\Windows\System32\uEiDDlZ.exe
  2⤵
  PID:11412
- C:\Windows\System32\UttqIcB.exe
  C:\Windows\System32\UttqIcB.exe
  2⤵
  PID:11584
- C:\Windows\System32\KmVYCEu.exe
  C:\Windows\System32\KmVYCEu.exe
  2⤵
  PID:11556
- C:\Windows\System32\XsYDwPJ.exe
  C:\Windows\System32\XsYDwPJ.exe
  2⤵
  PID:11740
- C:\Windows\System32\JHbkIOK.exe
  C:\Windows\System32\JHbkIOK.exe
  2⤵
  PID:11660
- C:\Windows\System32\cLvLNlq.exe
  C:\Windows\System32\cLvLNlq.exe
  2⤵
  PID:11800
- C:\Windows\System32\rvLmQas.exe
  C:\Windows\System32\rvLmQas.exe
  2⤵
  PID:11880
- C:\Windows\System32\Ksfjoer.exe
  C:\Windows\System32\Ksfjoer.exe
  2⤵
  PID:11988
- C:\Windows\System32\dZeNFyG.exe
  C:\Windows\System32\dZeNFyG.exe
  2⤵
  PID:12104
- C:\Windows\System32\DrgWtTi.exe
  C:\Windows\System32\DrgWtTi.exe
  2⤵
  PID:12136
- C:\Windows\System32\XbevmgS.exe
  C:\Windows\System32\XbevmgS.exe
  2⤵
  PID:12148
- C:\Windows\System32\owXDlqa.exe
  C:\Windows\System32\owXDlqa.exe
  2⤵
  PID:12236
- C:\Windows\System32\sfFdvFi.exe
  C:\Windows\System32\sfFdvFi.exe
  2⤵
  PID:10932
- C:\Windows\System32\cpCqPBJ.exe
  C:\Windows\System32\cpCqPBJ.exe
  2⤵
  PID:11356
- C:\Windows\System32\nzJvjhf.exe
  C:\Windows\System32\nzJvjhf.exe
  2⤵
  PID:11564
- C:\Windows\System32\jqrhfbP.exe
  C:\Windows\System32\jqrhfbP.exe
  2⤵
  PID:11580
- C:\Windows\System32\SPrCnrM.exe
  C:\Windows\System32\SPrCnrM.exe
  2⤵
  PID:1500
- C:\Windows\System32\fCmirAf.exe
  C:\Windows\System32\fCmirAf.exe
  2⤵
  PID:10736
- C:\Windows\System32\kMXRJst.exe
  C:\Windows\System32\kMXRJst.exe
  2⤵
  PID:12296
- C:\Windows\System32\dWDOCIT.exe
  C:\Windows\System32\dWDOCIT.exe
  2⤵
  PID:12320
- C:\Windows\System32\ImFsjfA.exe
  C:\Windows\System32\ImFsjfA.exe
  2⤵
  PID:12340
- C:\Windows\System32\KoanfHl.exe
  C:\Windows\System32\KoanfHl.exe
  2⤵
  PID:12384
- C:\Windows\System32\xhZdYMq.exe
  C:\Windows\System32\xhZdYMq.exe
  2⤵
  PID:12424
- C:\Windows\System32\hYysQAA.exe
  C:\Windows\System32\hYysQAA.exe
  2⤵
  PID:12456
- C:\Windows\System32\cptGlxA.exe
  C:\Windows\System32\cptGlxA.exe
  2⤵
  PID:12472
- C:\Windows\System32\fWEuAQR.exe
  C:\Windows\System32\fWEuAQR.exe
  2⤵
  PID:12508
- C:\Windows\System32\ssocuiV.exe
  C:\Windows\System32\ssocuiV.exe
  2⤵
  PID:12536
- C:\Windows\System32\saCCRYX.exe
  C:\Windows\System32\saCCRYX.exe
  2⤵
  PID:12568
- C:\Windows\System32\TUSwnyt.exe
  C:\Windows\System32\TUSwnyt.exe
  2⤵
  PID:12588
- C:\Windows\System32\SsAlGUr.exe
  C:\Windows\System32\SsAlGUr.exe
  2⤵
  PID:12612
- C:\Windows\System32\bYnLUdR.exe
  C:\Windows\System32\bYnLUdR.exe
  2⤵
  PID:12640
- C:\Windows\System32\kEJNbDE.exe
  C:\Windows\System32\kEJNbDE.exe
  2⤵
  PID:12672
- C:\Windows\System32\zfBwXmH.exe
  C:\Windows\System32\zfBwXmH.exe
  2⤵
  PID:12692
- C:\Windows\System32\RmsAUqO.exe
  C:\Windows\System32\RmsAUqO.exe
  2⤵
  PID:12720
- C:\Windows\System32\FiAMfhC.exe
  C:\Windows\System32\FiAMfhC.exe
  2⤵
  PID:12756
- C:\Windows\System32\outXlfz.exe
  C:\Windows\System32\outXlfz.exe
  2⤵
  PID:12776
- C:\Windows\System32\auMzNFP.exe
  C:\Windows\System32\auMzNFP.exe
  2⤵
  PID:12812
- C:\Windows\System32\cQFukOO.exe
  C:\Windows\System32\cQFukOO.exe
  2⤵
  PID:12836
- C:\Windows\System32\YbkJgyL.exe
  C:\Windows\System32\YbkJgyL.exe
  2⤵
  PID:12868
- C:\Windows\System32\JULjpIW.exe
  C:\Windows\System32\JULjpIW.exe
  2⤵
  PID:12896
- C:\Windows\System32\TFVOfmC.exe
  C:\Windows\System32\TFVOfmC.exe
  2⤵
  PID:12928
- C:\Windows\System32\HGIBniq.exe
  C:\Windows\System32\HGIBniq.exe
  2⤵
  PID:12952
- C:\Windows\System32\rtRkAqD.exe
  C:\Windows\System32\rtRkAqD.exe
  2⤵
  PID:12980
- C:\Windows\System32\OKskHYL.exe
  C:\Windows\System32\OKskHYL.exe
  2⤵
  PID:13008
- C:\Windows\System32\QnFnmzi.exe
  C:\Windows\System32\QnFnmzi.exe
  2⤵
  PID:13028
- C:\Windows\System32\AJQUSgJ.exe
  C:\Windows\System32\AJQUSgJ.exe
  2⤵
  PID:13044
- C:\Windows\System32\FCKnbRV.exe
  C:\Windows\System32\FCKnbRV.exe
  2⤵
  PID:13080
- C:\Windows\System32\aKZhMpe.exe
  C:\Windows\System32\aKZhMpe.exe
  2⤵
  PID:13096
- C:\Windows\System32\wKwMtTh.exe
  C:\Windows\System32\wKwMtTh.exe
  2⤵
  PID:13116
- C:\Windows\System32\lfQTRuI.exe
  C:\Windows\System32\lfQTRuI.exe
  2⤵
  PID:13136
- C:\Windows\System32\fAqHWdn.exe
  C:\Windows\System32\fAqHWdn.exe
  2⤵
  PID:13156
- C:\Windows\System32\EOUjxdf.exe
  C:\Windows\System32\EOUjxdf.exe
  2⤵
  PID:13176
- C:\Windows\System32\cADXHhg.exe
  C:\Windows\System32\cADXHhg.exe
  2⤵
  PID:13196
- C:\Windows\System32\yPMxmdn.exe
  C:\Windows\System32\yPMxmdn.exe
  2⤵
  PID:13224
- C:\Windows\System32\QsqXzzJ.exe
  C:\Windows\System32\QsqXzzJ.exe
  2⤵
  PID:13264
- C:\Windows\System32\UDgEUZl.exe
  C:\Windows\System32\UDgEUZl.exe
  2⤵
  PID:13308
- C:\Windows\System32\AhxZUuq.exe
  C:\Windows\System32\AhxZUuq.exe
  2⤵
  PID:11416
- C:\Windows\System32\kHySTsi.exe
  C:\Windows\System32\kHySTsi.exe
  2⤵
  PID:11948
- C:\Windows\System32\uydWDYi.exe
  C:\Windows\System32\uydWDYi.exe
  2⤵
  PID:12168
- C:\Windows\System32\uydbkjw.exe
  C:\Windows\System32\uydbkjw.exe
  2⤵
  PID:12008
- C:\Windows\System32\YkxAiPo.exe
  C:\Windows\System32\YkxAiPo.exe
  2⤵
  PID:11676
- C:\Windows\System32\sGrBPMv.exe
  C:\Windows\System32\sGrBPMv.exe
  2⤵
  PID:12364
- C:\Windows\System32\ElYpHjK.exe
  C:\Windows\System32\ElYpHjK.exe
  2⤵
  PID:12432
- C:\Windows\System32\yNHbwSF.exe
  C:\Windows\System32\yNHbwSF.exe
  2⤵
  PID:12528
- C:\Windows\System32\CJqpiwj.exe
  C:\Windows\System32\CJqpiwj.exe
  2⤵
  PID:12584

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13088

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Event Triggered Execution

T1546

Accessibility Features

T1546.008

Privilege Escalation

Event Triggered Execution

T1546

Accessibility Features

T1546.008

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BEvAREb.exe

Filesize
1.7MB

MD5
3a04dc183ce244fd1ab28c1f14f900ac

SHA1
ed3911e4cea5e24fadf8ba0d754b2fb055ac88e8

SHA256
1dc9cfb3431a1d442ea257f8b1433d999d3eb921651fd691e8ee033c80cfb89c

SHA512
e546898f1cc7b7ab59911c42f40ca0192d8003e44809d0e9c223bb7a07bf4f70a19508498db6f700eae741ceb3a40a19e896c093dfcc037d05d71cbf75529409

Download Submit
C:\Windows\System32\CUJltHB.exe

Filesize
1.7MB

MD5
e6f0faf2c09aaa556fe1f2d5553a6bad

SHA1
e42a37878e0dcd12de40dd0567f40ee4b8909f29

SHA256
d1c63933e7570d61920e57017dee605c34aa4549cda3850fccaa5e16e8282944

SHA512
f138cec9862b9792899030e50ca7ba1d41ec513393c25a66ea4d52f9689d55ca2cce31936702d5480bcf4e2b6b7c6c95a5bba290121a313cdf1c1ce3c036743c

Download Submit
C:\Windows\System32\CeUcLCw.exe

Filesize
1.7MB

MD5
0fc8148fc70a836a0ae3b30264b68a2a

SHA1
743d3df2bbcb720d3b5814ac5b452e962c1a6ac2

SHA256
b44352ec1a10e31ce38004f865083882b746ab76930e7c629a3d8c232274260b

SHA512
da2d516c6ef1a165694ae1f6fa3c27398020be75cb2219830fbedf0cebb66a1823b69939114c59f9ee7e6f3d17047cb9a5a93d9ae5751ab40524a601ca5ee6ab

Download Submit
C:\Windows\System32\FfMMWRS.exe

Filesize
1.7MB

MD5
714116a71a2d43e578dbb944f0e64eb9

SHA1
1a4b2c31edc0262a314e26afd3ff8d698ab8540d

SHA256
a675638e3fe6e8daf6364a273fe4d59788ff919ac37f30fe1e6e0f62b5424d25

SHA512
28703f9e02fe93159aa3576b2a8cb5fe10f4d35ac65095c8168d2571c5ef7c6fb17f58765ca7ee5823ef92f3f50209215fdd4c852170ac657fb9571500822358

Download Submit
C:\Windows\System32\GHDptGw.exe

Filesize
1.7MB

MD5
62e4572a62d186fa5e82eb3aff34f1f2

SHA1
4cc886eb27d674ff97ccddbfc83c38bc342ffb44

SHA256
62c97365d5ab83174de07df34a5f94896061001b8bc37d496f3d70b3bae4daea

SHA512
9758882d8029e89010b3bb3588e99941a6c289899d98e603c878e8952e6bcef3ecf2d2fe11f67cf1d9ccfe1aa073b362a7c14e95502fe499a9b198af3ec936a5

Download Submit
C:\Windows\System32\GINTqMh.exe

Filesize
1.7MB

MD5
02d61dd82dcfccca944df7bfc45ee649

SHA1
c3b356bddff228cdc050d3a0654d4e76443e0be9

SHA256
19b433f3d69e9b79f8a59fbe2b9431cb7315f9ba3c82f40ec2158292a46b6966

SHA512
bfd73bc89f38ee026b198e25c7a33edc5d50f912189b65071e821fc4f82ee03d911ba4cb158c0f449d9dd0b7ad124ed8641538b922f49e21c485931def1fbad7

Download Submit
C:\Windows\System32\HNZhBLr.exe

Filesize
1.7MB

MD5
7dec72c33e95c064d15a3de8829c8126

SHA1
e3412f93ede9e572de327e0d4d65b7f0a0517cfd

SHA256
b13c70cd70a7773ec309fe4674bfd2ef9a549af463b9e310308a07a1af494388

SHA512
c68ebe02af9d6b93257b575e4cf2d84942e47a6d5e216e5a6f6c41cc5a95a55b9adb92fed013d2011bf88d5efa753c1184a69eea4e61ceb198813275b9eef979

Download Submit
C:\Windows\System32\IIQYlbp.exe

Filesize
1.7MB

MD5
00ec8316ca69473cde205e68f5feaa05

SHA1
4ffff8140a43630fe196563bfd3fccb2e7f5c184

SHA256
5a2720214bdb2c0f99ab77952ad051c6f3ac8ede9b402e4f58151bbe85db7b88

SHA512
0696f0bc2a310069447782730f452b336de50cae3d4892ccc60f85e45b7e4d7a4576934c3962ed9c795e9f734418ee3095988dae6ccbe09f17db1125b277a82d

Download Submit
C:\Windows\System32\JBwPlYr.exe

Filesize
1.7MB

MD5
0e0f50461fa79b40c4d3f5862332f516

SHA1
81dcf0cae6eb037e3bb7f1629bec941112eb4bd0

SHA256
8e4fa17077b61c1729580579c7a5d4288b5c2ce86457c048cd5401cf59e75874

SHA512
1230a79ccf129f0bca10e4c15baa3a07bd3efdd0bfaa0cc53f3c448dade0095d5a14a714f3d200520c0508b71ae55433b659808a46f72ca3715de004e12b5bf0

Download Submit
C:\Windows\System32\JorwEuG.exe

Filesize
1.7MB

MD5
ff6ef03061c9845d7487ed3b5aff80f6

SHA1
44c98aa417532f8d121947e6fa553c5f0bb3050f

SHA256
2674f5022cc77e0f96052df8b5462637546b8602530e2c8f1cd17fb9b08f4bfb

SHA512
383eac0543f672dd0a77bcf48a536465d2e83aedd868805ddfd5889a1de12679df170f44f7211dd51dd276e04182cece07428d7e6973942c8c989bb46c5adc2f

Download Submit
C:\Windows\System32\NPCKZGW.exe

Filesize
1.7MB

MD5
0bb7b828a28eb4bf968254a6a0904bad

SHA1
8b7c1ce620490fae2dd77bf467d35a795f1e530a

SHA256
ba59b3016c58e40bbea299137deea652c61b50d93d5ac8ce641333438228dd60

SHA512
7c53992a383eccb4aa618a400deb19e4fe51216147016c6e7679d2de8360f980b0c5088eac62be1f59185ee2b11d6bf7abad9e15da86fdf4223ca8d729ef048f

Download Submit
C:\Windows\System32\PFeFdsz.exe

Filesize
1.7MB

MD5
f0a3f7d4816cac5e56a14c005b35e865

SHA1
62d704b70a27c1b47e2b46f8199d96098495ed90

SHA256
66f0fdee9afb51120506f2aab8883741a93ccfed76e2d06f4d08ba2226f14217

SHA512
5229d0accfb5417d4db3da4044b6cddb153cd44e4951bfc15e702ef709d1d06376aefa17a39fd69719b614dd8484e08a464fa3fd78df2c9d42061f59517ec0a8

Download Submit
C:\Windows\System32\ShICMkN.exe

Filesize
1.7MB

MD5
cd04284d911b30a92129558d03bea453

SHA1
421bd149a26bf0118837a39809153ab173d38e12

SHA256
6d67f65ba7d1c6628db0e682b97b596441aa62af59e54c3a460444d5893027fc

SHA512
4ba32c8fe96a066dc8fe91a14264a8fb6b56bd17ba9f7d044fa4ae5427b185adf8aba2d2355d8033f0dd7e4f799eeae9bcca828b3c84dd13c7059d075f5f7d93

Download Submit
C:\Windows\System32\TvDmiAF.exe

Filesize
1.7MB

MD5
e385acc55f762be8d0fb82e424e32ca7

SHA1
f6ef8572d854b179dceda1d1f2857a6b8d90bbfd

SHA256
e427061b09ad74d5ed9bfbbd051998f75d285f679db0e2fc2b0b0b58c3530155

SHA512
aefa2659ce63b1aee9075034e53f1c93b933a4745bbf587cff123db84ff6856bd69f7184b256ca48840d4b3cf97f4d2e10181b4d0c3aac2777c75d422a67bb29

Download Submit
C:\Windows\System32\XHvPyeJ.exe

Filesize
1.7MB

MD5
da1347fd76e74c3d55a0fd99131bbced

SHA1
ec5d3942b666af879f26d6e2e71e4aef5cfbc84b

SHA256
7fcd40480c2817c69a28b0f7a7af8ecd0b4c727f3b379de001bdcc7357cfbca7

SHA512
2a739ced776454fcddf62139d1108c460714b4d01b3dd7ac1e175c78f6fc9d2f716b716490b3a6f1499346d24672b8ee2d5ac1642ff834894268ddb2e1f9d92e

Download Submit
C:\Windows\System32\ZYlMCNG.exe

Filesize
1.7MB

MD5
5e06934154c7d83444ba0a73eb015aff

SHA1
14bbf19385fabc1544c1d21e9110bba7caa3df41

SHA256
72f6300fdbac378030ad1b0b7423c67fb7efd7ee0452256e258a9df9de0157b6

SHA512
678b2a4af0ea194afaf46a62d4100fb2ed72718f4e0fcbc802f481325846d30b74751322c988c03bd35db86fd7b43d5f9e22c438d59f7534c4e104314c4f3e4f

Download Submit
C:\Windows\System32\efQeEtL.exe

Filesize
1.7MB

MD5
7c2d3cb58cf45b6352848b5a249855a5

SHA1
8c2c49e851b55461b2d07a29c29fe5b366882306

SHA256
9e2406b2afe9658fecc02b390c15464c855a62d41d366ab2d65448b3a4d1dd94

SHA512
541a9c6137a1324a239d271c91a9d5d876ac6403221bd150331239c9f0b2d52c97afb1758e57c1910bd94a0b3620e49d24ed31def6869a705d7bf8af93619c4c

Download Submit
C:\Windows\System32\fHaovcc.exe

Filesize
1.7MB

MD5
bad95ca20915d18f811832c36de97453

SHA1
d0589a94c01e16ffceadfc14827a1df848d2f871

SHA256
50b2fc1c0b0286959b78f5210c2b68ec5636970ee335f10cfe130f75215f9d01

SHA512
00caa651e417c9d906f4d42b013cb54e4fd438aa491bcf7f3dbae4ceae314a177b9f3914cb25cfb36122568ac3840d3ace1a40cc3ace37210a520e2533831d40

Download Submit
C:\Windows\System32\gmXaRDx.exe

Filesize
1.7MB

MD5
08752a56bdfd3db5c265c8d938be97f9

SHA1
607d5f4a50a26c12c7d967618a390294865a281d

SHA256
f0485535b2f7fc4d09fc069aae5cdd76a479383a2015011d97a425e43a17cd42

SHA512
ca19488d555598b46bb66457ce2f8ebe9f18c8fac1d7a2dbac8b44622c78c26b6af3396282820bbed6733d79f3aec18a64ce7856a37a6cdcbd8d61c5f1a6f9ed

Download Submit
C:\Windows\System32\hoHPYQT.exe

Filesize
1.7MB

MD5
542fa9a0fd9e6e3198e65d2ba632decb

SHA1
7b5226a38c5944223b28de9e72b94a90f4e7ce71

SHA256
6ae64d456ad9a51dc16ffab3039ac1e37ef96097671e363d6ad8d2462fcbe594

SHA512
ada9d5580571263f03602f8a5fb34f74282ab3238f70917e4d532b2f8580cd4b92f8a234abc796b0623ade672793e5d459ef4cf392159d1ebe4b815aa2a191e0

Download Submit
C:\Windows\System32\iaIeqan.exe

Filesize
1.7MB

MD5
eee92af023aa190a7a7253645d7e1fa2

SHA1
6aec0515a3bb03eab20e38fb885a27e0447a6385

SHA256
b8d50c43e9c91c0685e8378dbb0f43bae41f95116804f2c26489e076c38c41c4

SHA512
47429fff04585209118cfd718cf2e62fae8fbddcba736244246c15afa53837470c067c3215fa7f6b8895a7db46d5fba3a2f75b3b4bf3324c2145c046a02adf75

Download Submit
C:\Windows\System32\iiRwhKI.exe

Filesize
1.7MB

MD5
d778a72ef10d6983a5fd327f880d20f9

SHA1
4deef10560dccf90d6acc5467e573a727c858c0b

SHA256
c59ca8016fa1dd21e07bc55b298521eeaec0d3d34d85ced8cadd4cc270005ad4

SHA512
dcf5890ad3102e6c8c0254607caacc818a94875b230eb542a448076be04272947c204fe80d992a9113c530e1286599ad9ba1547f292f457d3dc125c382b7fcb0

Download Submit
C:\Windows\System32\jgISKpm.exe

Filesize
1.7MB

MD5
8998bfdc2f3e0ff98b2180dfa767e350

SHA1
d05eb5015d36e2de64c100eb15d6615227231833

SHA256
83d2976fa023b4e6a3b8e1a8694c2e39d4497858573f79d109c10329a1ce2cdf

SHA512
96b61ec0f2924712adf1e5b8c21bae8ab7f11a88f0e9d4575930422734dbb3ab1890a1d8936e55158bc2b47d5d1a39dd9f3278d93f3ea5bad5d65e2701346345

Download Submit
C:\Windows\System32\ldOuJsc.exe

Filesize
1.7MB

MD5
4684b4cf6b5f3ec35efdbcee44d24ef6

SHA1
7601479141ed217c0aa4041882468882281c3a01

SHA256
3af7aa02d14063e5434f891fd7f2f8d2538d1d6eba4c296b59ad1aee8c630084

SHA512
98d86cbb65f0553b8e4e9f4906ccf6eff90d33e6e8d7cdb6b5c1b316051d52e4d86c0cbd514f2faa288621afcf49dda99e2d4be52afe5f0470035ceb4a8c0131

Download Submit
C:\Windows\System32\penIOqk.exe

Filesize
1.7MB

MD5
64eecbc755862b8096691fdd382ad1c9

SHA1
cba2dfa494350a92458f0503f6346b809b36b307

SHA256
0b991476a00da85097f7b9b5ec5c191a57ec4302765133f6581e69e6f4888244

SHA512
5a858106b8979630f7b47801d25044aae74f841725fd8a7e5d75913ada4838bbe002850097779621c536690560de1d4181f8a9d19c5a13160f73d715d89d3d2a

Download Submit
C:\Windows\System32\roUEmRx.exe

Filesize
1.7MB

MD5
2a781d485215c8302fd1aa52e29c6f47

SHA1
d95a8c2e8a858be430061591fe89a766c3d6c42d

SHA256
70c1f88918d55117d485d55d62c4c06effa9fd8eabdd113dc686470c99aff237

SHA512
5d794cc15dfcf25ee7659a6318189c7fd9bf7d3ed720f2f52d8fa4eb724e782b4129eb29511ce29c7dd3cccbe06a98d5ddf61dbe07dddced50ed97c83bd217e1

Download Submit
C:\Windows\System32\sbVeHst.exe

Filesize
1.7MB

MD5
99a21cdb597fb4b0616c0767347cdbfd

SHA1
b6432b0aa82acb404c34851b04a275397c3e8490

SHA256
cd97003e299981e07f7293fa171a4e5917a003f3345f0c9823c99a7f3410819e

SHA512
6bbf43f8994af2674a2f58def703ee6fec0bdaedecc5c0c7fa05050a3aead7cd1c95d52fab76d8449032d29a7d4b9318f73f54c296f54bc405835b754f6187f9

Download Submit
C:\Windows\System32\tFKdPBS.exe

Filesize
1.7MB

MD5
b210fc369f7a68bf090376254c6cf328

SHA1
2f21d2487e6eb68a40c3f23fec53334c1a631f10

SHA256
c2804232de38f783e33a681f1f8ab90d2eca7e5c08bdaef753701bf2564376be

SHA512
24f215f160036cf2e711be43d8d010118fc116ec56f196da02478231517ece2e5bbfa820d8e7e8097421fa5d062dcb06a0346702fb61e32a93d883feb3089af0

Download Submit
C:\Windows\System32\ucnVVEZ.exe

Filesize
1.7MB

MD5
fc37e9eb6d5aa97e5895dbbfd485facf

SHA1
1b399557d7675de9204cdcae55640309249e0e26

SHA256
64241a9d5f6f7ce4ea702737fe71b8607902d6486d173ac0dead77a1c6b951ae

SHA512
b302950436fe95a639255105b8c121fe0db7d58d4b47516671a1d354688a9298492d9887378d1d2b913ded9e28fb1f57d15d2c61eaf5a64feaef204d4411cbee

Download Submit
C:\Windows\System32\waOCiwy.exe

Filesize
1.7MB

MD5
d863fbf776e968fe74badbb1b81a96e7

SHA1
9ac60db6d4ee247e716297bd7d2586f31e8eee12

SHA256
5545794e0c6dc40d7f375e050c420bc6ddd669bd720fb8a2e26a64c041a647d4

SHA512
3474f34bf6bbb5fdfdd81df58e070eadbdef6b5cf8fc0ec52cac64218d1ff77fb1b6dab45564e49f28acc4f0071b6adbf6e5d5cada18488cacd83e69bf573ba7

Download Submit
C:\Windows\System32\whtxRTI.exe

Filesize
1.7MB

MD5
32af687b8893d4cd9cc155e10b11d921

SHA1
f25071485306d48cd443b10307a20b8debd10d45

SHA256
e96a1e879344ac80a87caa4dd1d9af836fab38fd7a084f5e02fc97e95abd7636

SHA512
6ae7f7ee09420842d68ff53efd5afb7513bb33b77538d5ca38bbbd2f7f2b7b999c51c1edd4a5f0057898493c219b0da6e0c9f724f05044fe45b26c93af99ac9a

Download Submit
C:\Windows\System32\wiCBdfa.exe

Filesize
1.7MB

MD5
ddb8b571c452bc53127eb5214d8323cc

SHA1
ee19556c323eb7703a2b7e1be40c31e75abdac9b

SHA256
882e2648716abc0062b5dca6e5c0bd4ecc573a4a5472cd23d88102470209ff6d

SHA512
aa7c171b1261c185234457a3348b0842abea150539d0aa1fc7ac614d0a64237797aa9621b377c099eed36491d4ff32e8861b513a90e1f2abdae8c04d0f84ffd7

Download Submit
C:\Windows\System32\zDquPFQ.exe

Filesize
1.7MB

MD5
26ae1a58038dc5f3bffdbd5f4b917805

SHA1
64217e733e771d60d9a7fbf0b599d32983577a82

SHA256
aa40c2954ed1c8419202f18898dda3beb56e426320a9530be65ffc1a5cdd7b09

SHA512
e3daadf02945b5351d524fd732c67c6b653ba58fe9a810a794cd7f6ee6485574dc381179b3d06dfc9c133bec0a25044f602d11d6e70c5549ff09de05638a1bf0

Download Submit
memory/540-2049-0x00007FF7D8C20000-0x00007FF7D9011000-memory.dmp

Filesize
3.9MB

Download
memory/540-529-0x00007FF7D8C20000-0x00007FF7D9011000-memory.dmp

Filesize
3.9MB

Download
memory/736-625-0x00007FF7E3C70000-0x00007FF7E4061000-memory.dmp

Filesize
3.9MB

Download
memory/736-2076-0x00007FF7E3C70000-0x00007FF7E4061000-memory.dmp

Filesize
3.9MB

Download
memory/884-2067-0x00007FF75E1D0000-0x00007FF75E5C1000-memory.dmp

Filesize
3.9MB

Download
memory/884-601-0x00007FF75E1D0000-0x00007FF75E5C1000-memory.dmp

Filesize
3.9MB

Download
memory/1660-2061-0x00007FF7A33C0000-0x00007FF7A37B1000-memory.dmp

Filesize
3.9MB

Download
memory/1660-531-0x00007FF7A33C0000-0x00007FF7A37B1000-memory.dmp

Filesize
3.9MB

Download
memory/1744-2047-0x00007FF7A6670000-0x00007FF7A6A61000-memory.dmp

Filesize
3.9MB

Download
memory/1744-528-0x00007FF7A6670000-0x00007FF7A6A61000-memory.dmp

Filesize
3.9MB

Download
memory/1828-524-0x00007FF6732C0000-0x00007FF6736B1000-memory.dmp

Filesize
3.9MB

Download
memory/1828-2039-0x00007FF6732C0000-0x00007FF6736B1000-memory.dmp

Filesize
3.9MB

Download
memory/2432-1-0x0000024AE7110000-0x0000024AE7120000-memory.dmp

Filesize
64KB

Download
memory/2432-0-0x00007FF60E6D0000-0x00007FF60EAC1000-memory.dmp

Filesize
3.9MB

Download
memory/2456-580-0x00007FF7A4980000-0x00007FF7A4D71000-memory.dmp

Filesize
3.9MB

Download
memory/2456-2065-0x00007FF7A4980000-0x00007FF7A4D71000-memory.dmp

Filesize
3.9MB

Download
memory/2460-527-0x00007FF749BA0000-0x00007FF749F91000-memory.dmp

Filesize
3.9MB

Download
memory/2460-2045-0x00007FF749BA0000-0x00007FF749F91000-memory.dmp

Filesize
3.9MB

Download
memory/3020-2037-0x00007FF619670000-0x00007FF619A61000-memory.dmp

Filesize
3.9MB

Download
memory/3020-523-0x00007FF619670000-0x00007FF619A61000-memory.dmp

Filesize
3.9MB

Download
memory/3436-18-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp

Filesize
3.9MB

Download
memory/3436-2035-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp

Filesize
3.9MB

Download
memory/3436-1990-0x00007FF6B3AA0000-0x00007FF6B3E91000-memory.dmp

Filesize
3.9MB

Download
memory/3516-530-0x00007FF73A4E0000-0x00007FF73A8D1000-memory.dmp

Filesize
3.9MB

Download
memory/3516-2051-0x00007FF73A4E0000-0x00007FF73A8D1000-memory.dmp

Filesize
3.9MB

Download
memory/3656-2057-0x00007FF7AEA90000-0x00007FF7AEE81000-memory.dmp

Filesize
3.9MB

Download
memory/3656-534-0x00007FF7AEA90000-0x00007FF7AEE81000-memory.dmp

Filesize
3.9MB

Download
memory/3684-599-0x00007FF7CAC70000-0x00007FF7CB061000-memory.dmp

Filesize
3.9MB

Download
memory/3684-2055-0x00007FF7CAC70000-0x00007FF7CB061000-memory.dmp

Filesize
3.9MB

Download
memory/3692-2029-0x00007FF712590000-0x00007FF712981000-memory.dmp

Filesize
3.9MB

Download
memory/3692-2018-0x00007FF712590000-0x00007FF712981000-memory.dmp

Filesize
3.9MB

Download
memory/3692-30-0x00007FF712590000-0x00007FF712981000-memory.dmp

Filesize
3.9MB

Download
memory/3988-526-0x00007FF6C90F0000-0x00007FF6C94E1000-memory.dmp

Filesize
3.9MB

Download
memory/3988-2043-0x00007FF6C90F0000-0x00007FF6C94E1000-memory.dmp

Filesize
3.9MB

Download
memory/4040-2059-0x00007FF6A48B0000-0x00007FF6A4CA1000-memory.dmp

Filesize
3.9MB

Download
memory/4040-587-0x00007FF6A48B0000-0x00007FF6A4CA1000-memory.dmp

Filesize
3.9MB

Download
memory/4332-2063-0x00007FF61B960000-0x00007FF61BD51000-memory.dmp

Filesize
3.9MB

Download
memory/4332-533-0x00007FF61B960000-0x00007FF61BD51000-memory.dmp

Filesize
3.9MB

Download
memory/4384-2069-0x00007FF6D5800000-0x00007FF6D5BF1000-memory.dmp

Filesize
3.9MB

Download
memory/4384-532-0x00007FF6D5800000-0x00007FF6D5BF1000-memory.dmp

Filesize
3.9MB

Download
memory/4656-2053-0x00007FF608670000-0x00007FF608A61000-memory.dmp

Filesize
3.9MB

Download
memory/4656-591-0x00007FF608670000-0x00007FF608A61000-memory.dmp

Filesize
3.9MB

Download
memory/4760-11-0x00007FF665760000-0x00007FF665B51000-memory.dmp

Filesize
3.9MB

Download
memory/4760-2031-0x00007FF665760000-0x00007FF665B51000-memory.dmp

Filesize
3.9MB

Download
memory/4760-1989-0x00007FF665760000-0x00007FF665B51000-memory.dmp

Filesize
3.9MB

Download
memory/4804-2033-0x00007FF76E9E0000-0x00007FF76EDD1000-memory.dmp

Filesize
3.9MB

Download
memory/4804-29-0x00007FF76E9E0000-0x00007FF76EDD1000-memory.dmp

Filesize
3.9MB

Download
memory/4964-525-0x00007FF65C7A0000-0x00007FF65CB91000-memory.dmp

Filesize
3.9MB

Download
memory/4964-2041-0x00007FF65C7A0000-0x00007FF65CB91000-memory.dmp

Filesize
3.9MB

Download
memory/4992-14-0x00007FF6ECA00000-0x00007FF6ECDF1000-memory.dmp

Filesize
3.9MB

Download
memory/4992-1993-0x00007FF6ECA00000-0x00007FF6ECDF1000-memory.dmp

Filesize
3.9MB

Download
memory/5084-613-0x00007FF7EABE0000-0x00007FF7EAFD1000-memory.dmp

Filesize
3.9MB

Download
memory/5084-2074-0x00007FF7EABE0000-0x00007FF7EAFD1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads