b6c7ae9985097367e00bbf60d1436a7d52afafd26a931ef9523643fc533ce24f

Analysis

max time kernel
150s
max time network
118s
platform
windows7_x64
resource
win7-20240704-en
resource tags

arch:x64arch:x86image:win7-20240704-enlocale:en-usos:windows7-x64system
submitted
19/07/2024, 11:17

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe
Size

48KB
MD5

5bb68cbc88a927f2399e0b5404fe9368
SHA1

2e321e5a77658492932a3fd58cb8ea3a38edda89
SHA256

b6c7ae9985097367e00bbf60d1436a7d52afafd26a931ef9523643fc533ce24f
SHA512

ca76e4c550e4a9ef6ce88d742d84f72c333b8ee361caece7f73de6754fadd2bba37bbd2d0ea609f6356b2a1ee86bab1647b5226ba48523f81c39fa76bfe4c712
SSDEEP

768:5UzZqNeSIAaE6EtzwuZDfDc8iTEc38Z0D6Z878OHQxVE0kCSiqyLeCDyBrIBN4sI:qVqMSgow0Lcyc1Dc8NCZSirx8rS4H

Score

7^/10

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2468	capmhzqd.exe
2332	dllpwkdg.exe
2448	advcgzjc.exe
2152	atlndkwf.exe
2712	rdlmhhpe.exe
2676	libcckxm.exe
2604	secnrukp.exe
372	cliduxtp.exe
1224	cmdojhos.exe
1984	xmleecxa.exe
1072	netrwade.exe
1032	netgwptm.exe
2860	libtgfyh.exe
2744	drvrjihq.exe
2176	cliuysct.exe
444	umcstvlb.exe
2056	xmlvifyw.exe
668	netiavea.exe
1832	rdlspfzd.exe
1912	regvfpmg.exe
1616	sysiwfsk.exe
1016	cmdgribk.exe
1708	umcjgswn.exe
2164	advhjvfv.exe
2224	atlkzfsy.exe
2432	regxivyc.exe
1684	drvyaibf.exe
2352	advclvlr.exe
2640	advqlljy.exe
2276	comdvipc.exe
2828	igfuxdxk.exe
2876	xmlfnnkn.exe
2696	atlviqtn.exe
2864	netgxboq.exe
2632	regwsdxz.exe
2676	sechpokc.exe
664	cmduzdqy.exe
524	igfwoolb.exe
1952	winvrquj.exe
780	capxgbhm.exe
1272	rdlwbeqm.exe
1940	secjttvq.exe
2772	sysliert.exe
1916	comwxoew.exe
2444	igfnsrme.exe
2796	capakgsa.exe
2260	dllkzrnd.exe
2168	umcnpbbg.exe
1716	advlrejp.exe
1808	comybups.exe
2200	climcrfs.exe
752	schzthtw.exe
1968	capqojce.exe
1616	netaduph.exe
1696	regrgoxh.exe
1708	libbwztk.exe
2284	drvsqcbs.exe
1804	clidgmow.exe
1548	umctjpxw.exe
1232	atlgseda.exe
1684	atlutcbh.exe
3056	reghkrhl.exe
2276	schgfupl.exe
2828	drviueco.exe

Loads dropped DLL 64 IoCs

pid	Process
1512	5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe
1512	5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe
2468	capmhzqd.exe
2468	capmhzqd.exe
2332	dllpwkdg.exe
2332	dllpwkdg.exe
2448	advcgzjc.exe
2448	advcgzjc.exe
2152	atlndkwf.exe
2152	atlndkwf.exe
2712	rdlmhhpe.exe
2712	rdlmhhpe.exe
2676	libcckxm.exe
2676	libcckxm.exe
2604	secnrukp.exe
2604	secnrukp.exe
372	cliduxtp.exe
372	cliduxtp.exe
1224	cmdojhos.exe
1224	cmdojhos.exe
1984	xmleecxa.exe
1984	xmleecxa.exe
1072	netrwade.exe
1072	netrwade.exe
1032	netgwptm.exe
1032	netgwptm.exe
2860	libtgfyh.exe
2860	libtgfyh.exe
2744	drvrjihq.exe
2744	drvrjihq.exe
2176	cliuysct.exe
2176	cliuysct.exe
444	umcstvlb.exe
444	umcstvlb.exe
2056	xmlvifyw.exe
2056	xmlvifyw.exe
668	netiavea.exe
668	netiavea.exe
1832	rdlspfzd.exe
1832	rdlspfzd.exe
1912	regvfpmg.exe
1912	regvfpmg.exe
1616	sysiwfsk.exe
1616	sysiwfsk.exe
1016	cmdgribk.exe
1016	cmdgribk.exe
1708	umcjgswn.exe
1708	umcjgswn.exe
2164	advhjvfv.exe
2164	advhjvfv.exe
2224	atlkzfsy.exe
2224	atlkzfsy.exe
2212	libigftx.exe
2212	libigftx.exe
1684	drvyaibf.exe
1684	drvyaibf.exe
2352	advclvlr.exe
2352	advclvlr.exe
2640	advqlljy.exe
2640	advqlljy.exe
2276	comdvipc.exe
2276	comdvipc.exe
2828	igfuxdxk.exe
2828	igfuxdxk.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\xmliwill.exe	cmdkbfcd.exe
File opened for modification	C:\Windows\SysWOW64\reggxilx.exe	comdiyqu.exe
File created	C:\Windows\SysWOW64\sysmjcci.exe	advwgati.exe
File opened for modification	C:\Windows\SysWOW64\cliaaklu.exe	secbfhcm.exe
File created	C:\Windows\SysWOW64\advytttd.exe	convdiga.exe
File opened for modification	C:\Windows\SysWOW64\cmdjnvop.exe	cmdvnyyi.exe
File opened for modification	C:\Windows\SysWOW64\dllkihiv.exe	drvtnean.exe
File opened for modification	C:\Windows\SysWOW64\coneuwsc.exe	atlrcgmy.exe
File opened for modification	C:\Windows\SysWOW64\regsjhum.exe	atlfrroi.exe
File opened for modification	C:\Windows\SysWOW64\cmdysina.exe	sysayfes.exe
File opened for modification	C:\Windows\SysWOW64\rdlblscc.exe	netrwipz.exe
File opened for modification	C:\Windows\SysWOW64\capjcdqr.exe	winhnsco.exe
File opened for modification	C:\Windows\SysWOW64\clicczty.exe	libplknu.exe
File created	C:\Windows\SysWOW64\schkrqsw.exe	igfhugxt.exe
File opened for modification	C:\Windows\SysWOW64\sysljfcr.exe	conyzpwn.exe
File opened for modification	C:\Windows\SysWOW64\umccpyzp.exe	cmdraomm.exe
File created	C:\Windows\SysWOW64\comuerux.exe	atlvbplp.exe
File opened for modification	C:\Windows\SysWOW64\winkccop.exe	igftzafh.exe
File opened for modification	C:\Windows\SysWOW64\sysakqoq.exe	advcpnyi.exe
File opened for modification	C:\Windows\SysWOW64\secgqkgq.exe	libebatn.exe
File created	C:\Windows\SysWOW64\cmdcpugp.exe	cliaaklu.exe
File opened for modification	C:\Windows\SysWOW64\cliyvnfd.exe	sechskwd.exe
File opened for modification	C:\Windows\SysWOW64\advjvcws.exe	conzfsbp.exe
File created	C:\Windows\SysWOW64\schcerzb.exe	regejpqt.exe
File opened for modification	C:\Windows\SysWOW64\winmywgs.exe	igfndtyk.exe
File created	C:\Windows\SysWOW64\igfkxrui.exe	comucola.exe
File opened for modification	C:\Windows\SysWOW64\drvbypmb.exe	schrjeqy.exe
File created	C:\Windows\SysWOW64\sechskwd.exe	comujnqz.exe
File created	C:\Windows\SysWOW64\umcnpqkp.exe	clixunbg.exe
File created	C:\Windows\SysWOW64\comlotsp.exe	atlvtqkp.exe
File opened for modification	C:\Windows\SysWOW64\dlltoapw.exe	schyxlks.exe
File opened for modification	C:\Windows\SysWOW64\seccrnwp.exe	libzucbl.exe
File created	C:\Windows\SysWOW64\seccsdrz.exe	conlxaiy.exe
File created	C:\Windows\SysWOW64\cmdvnyyi.exe	secidise.exe
File opened for modification	C:\Windows\SysWOW64\xmlojxrp.exe	cmdxouig.exe
File opened for modification	C:\Windows\SysWOW64\cappmsqx.exe	igfcudkc.exe
File created	C:\Windows\SysWOW64\capkdyej.exe	schuiwwi.exe
File created	C:\Windows\SysWOW64\schukzey.exe	regwhwvy.exe
File created	C:\Windows\SysWOW64\igfkycpq.exe	comldahi.exe
File created	C:\Windows\SysWOW64\schxhmik.exe	conzmkak.exe
File opened for modification	C:\Windows\SysWOW64\drvhhgqm.exe	reguprci.exe
File created	C:\Windows\SysWOW64\sysluucf.exe	conmarux.exe
File created	C:\Windows\SysWOW64\atlviqtn.exe	xmlfnnkn.exe
File opened for modification	C:\Windows\SysWOW64\atlwwhmd.exe	umcjnsgz.exe
File opened for modification	C:\Windows\SysWOW64\netweztm.exe	atluhpfj.exe
File opened for modification	C:\Windows\SysWOW64\librqlvx.exe	rdltvinp.exe
File created	C:\Windows\SysWOW64\caprqwca.exe	schavttr.exe
File opened for modification	C:\Windows\SysWOW64\schcerzb.exe	regejpqt.exe
File opened for modification	C:\Windows\SysWOW64\confyxwa.exe	dllhdunr.exe
File created	C:\Windows\SysWOW64\clipcgci.exe	secyhdti.exe
File created	C:\Windows\SysWOW64\advqlljy.exe	advclvlr.exe
File created	C:\Windows\SysWOW64\dllbhtnm.exe	drvkmyfe.exe
File created	C:\Windows\SysWOW64\winkccop.exe	igftzafh.exe
File opened for modification	C:\Windows\SysWOW64\xmlqutgt.exe	cmdarqxl.exe
File created	C:\Windows\SysWOW64\igfpmrdt.exe	rdlzrpvl.exe
File created	C:\Windows\SysWOW64\umcubdge.exe	dlljlttb.exe
File opened for modification	C:\Windows\SysWOW64\conoowxi.exe	conangza.exe
File created	C:\Windows\SysWOW64\schmygob.exe	schyfjyt.exe
File created	C:\Windows\SysWOW64\netfkyqj.exe	winhivhb.exe
File created	C:\Windows\SysWOW64\drvdjbzj.exe	libfhyqj.exe
File created	C:\Windows\SysWOW64\netamksr.exe	xmlnvmmn.exe
File created	C:\Windows\SysWOW64\comdzact.exe	sysakqoq.exe
File opened for modification	C:\Windows\SysWOW64\xmllqpyf.exe	capyzasb.exe
File created	C:\Windows\SysWOW64\sysepltd.exe	winfmikd.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1512 wrote to memory of 2468	1512	5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe	30
PID 1512 wrote to memory of 2468	1512	5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe	30
PID 1512 wrote to memory of 2468	1512	5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe	30
PID 1512 wrote to memory of 2468	1512	5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe	30
PID 2468 wrote to memory of 2332	2468	capmhzqd.exe	31
PID 2468 wrote to memory of 2332	2468	capmhzqd.exe	31
PID 2468 wrote to memory of 2332	2468	capmhzqd.exe	31
PID 2468 wrote to memory of 2332	2468	capmhzqd.exe	31
PID 2332 wrote to memory of 2448	2332	dllpwkdg.exe	32
PID 2332 wrote to memory of 2448	2332	dllpwkdg.exe	32
PID 2332 wrote to memory of 2448	2332	dllpwkdg.exe	32
PID 2332 wrote to memory of 2448	2332	dllpwkdg.exe	32
PID 2448 wrote to memory of 2152	2448	advcgzjc.exe	33
PID 2448 wrote to memory of 2152	2448	advcgzjc.exe	33
PID 2448 wrote to memory of 2152	2448	advcgzjc.exe	33
PID 2448 wrote to memory of 2152	2448	advcgzjc.exe	33
PID 2152 wrote to memory of 2712	2152	atlndkwf.exe	34
PID 2152 wrote to memory of 2712	2152	atlndkwf.exe	34
PID 2152 wrote to memory of 2712	2152	atlndkwf.exe	34
PID 2152 wrote to memory of 2712	2152	atlndkwf.exe	34
PID 2712 wrote to memory of 2676	2712	rdlmhhpe.exe	35
PID 2712 wrote to memory of 2676	2712	rdlmhhpe.exe	35
PID 2712 wrote to memory of 2676	2712	rdlmhhpe.exe	35
PID 2712 wrote to memory of 2676	2712	rdlmhhpe.exe	35
PID 2676 wrote to memory of 2604	2676	libcckxm.exe	36
PID 2676 wrote to memory of 2604	2676	libcckxm.exe	36
PID 2676 wrote to memory of 2604	2676	libcckxm.exe	36
PID 2676 wrote to memory of 2604	2676	libcckxm.exe	36
PID 2604 wrote to memory of 372	2604	secnrukp.exe	37
PID 2604 wrote to memory of 372	2604	secnrukp.exe	37
PID 2604 wrote to memory of 372	2604	secnrukp.exe	37
PID 2604 wrote to memory of 372	2604	secnrukp.exe	37
PID 372 wrote to memory of 1224	372	cliduxtp.exe	38
PID 372 wrote to memory of 1224	372	cliduxtp.exe	38
PID 372 wrote to memory of 1224	372	cliduxtp.exe	38
PID 372 wrote to memory of 1224	372	cliduxtp.exe	38
PID 1224 wrote to memory of 1984	1224	cmdojhos.exe	39
PID 1224 wrote to memory of 1984	1224	cmdojhos.exe	39
PID 1224 wrote to memory of 1984	1224	cmdojhos.exe	39
PID 1224 wrote to memory of 1984	1224	cmdojhos.exe	39
PID 1984 wrote to memory of 1072	1984	xmleecxa.exe	40
PID 1984 wrote to memory of 1072	1984	xmleecxa.exe	40
PID 1984 wrote to memory of 1072	1984	xmleecxa.exe	40
PID 1984 wrote to memory of 1072	1984	xmleecxa.exe	40
PID 1072 wrote to memory of 1032	1072	netrwade.exe	41
PID 1072 wrote to memory of 1032	1072	netrwade.exe	41
PID 1072 wrote to memory of 1032	1072	netrwade.exe	41
PID 1072 wrote to memory of 1032	1072	netrwade.exe	41
PID 1032 wrote to memory of 2860	1032	netgwptm.exe	42
PID 1032 wrote to memory of 2860	1032	netgwptm.exe	42
PID 1032 wrote to memory of 2860	1032	netgwptm.exe	42
PID 1032 wrote to memory of 2860	1032	netgwptm.exe	42
PID 2860 wrote to memory of 2744	2860	libtgfyh.exe	43
PID 2860 wrote to memory of 2744	2860	libtgfyh.exe	43
PID 2860 wrote to memory of 2744	2860	libtgfyh.exe	43
PID 2860 wrote to memory of 2744	2860	libtgfyh.exe	43
PID 2744 wrote to memory of 2176	2744	drvrjihq.exe	44
PID 2744 wrote to memory of 2176	2744	drvrjihq.exe	44
PID 2744 wrote to memory of 2176	2744	drvrjihq.exe	44
PID 2744 wrote to memory of 2176	2744	drvrjihq.exe	44
PID 2176 wrote to memory of 444	2176	cliuysct.exe	45
PID 2176 wrote to memory of 444	2176	cliuysct.exe	45
PID 2176 wrote to memory of 444	2176	cliuysct.exe	45
PID 2176 wrote to memory of 444	2176	cliuysct.exe	45

C:\Users\Admin\AppData\Local\Temp\5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe"
1⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:1512
- C:\Windows\SysWOW64\capmhzqd.exe
  C:\Windows\system32\capmhzqd.exe 124 "C:\Users\Admin\AppData\Local\Temp\5bb68cbc88a927f2399e0b5404fe9368_JaffaCakes118.exe"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of WriteProcessMemory
  PID:2468
- - C:\Windows\SysWOW64\dllpwkdg.exe
    C:\Windows\system32\dllpwkdg.exe 124 "C:\Windows\SysWOW64\capmhzqd.exe"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of WriteProcessMemory
    PID:2332
  - - C:\Windows\SysWOW64\advcgzjc.exe
      C:\Windows\system32\advcgzjc.exe 124 "C:\Windows\SysWOW64\dllpwkdg.exe"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of WriteProcessMemory
      PID:2448
    - - C:\Windows\SysWOW64\atlndkwf.exe
        
        C:\Windows\system32\atlndkwf.exe 124 "C:\Windows\SysWOW64\advcgzjc.exe"
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2152
      - C:\Windows\SysWOW64\rdlmhhpe.exe
        
        C:\Windows\system32\rdlmhhpe.exe 124 "C:\Windows\SysWOW64\atlndkwf.exe"
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2712
        
        C:\Windows\SysWOW64\libcckxm.exe
        
        C:\Windows\system32\libcckxm.exe 124 "C:\Windows\SysWOW64\rdlmhhpe.exe"
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2676
        
        C:\Windows\SysWOW64\secnrukp.exe
        
        C:\Windows\system32\secnrukp.exe 124 "C:\Windows\SysWOW64\libcckxm.exe"
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2604
        
        C:\Windows\SysWOW64\cliduxtp.exe
        
        C:\Windows\system32\cliduxtp.exe 124 "C:\Windows\SysWOW64\secnrukp.exe"
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:372
        
        C:\Windows\SysWOW64\cmdojhos.exe
        
        C:\Windows\system32\cmdojhos.exe 124 "C:\Windows\SysWOW64\cliduxtp.exe"
        10⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:1224
        
        C:\Windows\SysWOW64\xmleecxa.exe
        
        C:\Windows\system32\xmleecxa.exe 124 "C:\Windows\SysWOW64\cmdojhos.exe"
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:1984
        
        C:\Windows\SysWOW64\netrwade.exe
        
        C:\Windows\system32\netrwade.exe 124 "C:\Windows\SysWOW64\xmleecxa.exe"
        12⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:1072
        
        C:\Windows\SysWOW64\netgwptm.exe
        
        C:\Windows\system32\netgwptm.exe 124 "C:\Windows\SysWOW64\netrwade.exe"
        13⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:1032
        
        C:\Windows\SysWOW64\libtgfyh.exe
        
        C:\Windows\system32\libtgfyh.exe 124 "C:\Windows\SysWOW64\netgwptm.exe"
        14⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2860
        
        C:\Windows\SysWOW64\drvrjihq.exe
        
        C:\Windows\system32\drvrjihq.exe 124 "C:\Windows\SysWOW64\libtgfyh.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2744
        
        C:\Windows\SysWOW64\cliuysct.exe
        
        C:\Windows\system32\cliuysct.exe 124 "C:\Windows\SysWOW64\drvrjihq.exe"
        16⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of WriteProcessMemory
        
        PID:2176
        
        C:\Windows\SysWOW64\umcstvlb.exe
        
        C:\Windows\system32\umcstvlb.exe 124 "C:\Windows\SysWOW64\cliuysct.exe"
        17⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:444
        
        C:\Windows\SysWOW64\xmlvifyw.exe
        
        C:\Windows\system32\xmlvifyw.exe 124 "C:\Windows\SysWOW64\umcstvlb.exe"
        18⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2056
        
        C:\Windows\SysWOW64\netiavea.exe
        
        C:\Windows\system32\netiavea.exe 124 "C:\Windows\SysWOW64\xmlvifyw.exe"
        19⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:668
        
        C:\Windows\SysWOW64\rdlspfzd.exe
        
        C:\Windows\system32\rdlspfzd.exe 124 "C:\Windows\SysWOW64\netiavea.exe"
        20⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1832
        
        C:\Windows\SysWOW64\regvfpmg.exe
        
        C:\Windows\system32\regvfpmg.exe 124 "C:\Windows\SysWOW64\rdlspfzd.exe"
        21⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1912
        
        C:\Windows\SysWOW64\sysiwfsk.exe
        
        C:\Windows\system32\sysiwfsk.exe 124 "C:\Windows\SysWOW64\regvfpmg.exe"
        22⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1616
        
        C:\Windows\SysWOW64\cmdgribk.exe
        
        C:\Windows\system32\cmdgribk.exe 124 "C:\Windows\SysWOW64\sysiwfsk.exe"
        23⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1016
        
        C:\Windows\SysWOW64\umcjgswn.exe
        
        C:\Windows\system32\umcjgswn.exe 124 "C:\Windows\SysWOW64\cmdgribk.exe"
        24⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1708
        
        C:\Windows\SysWOW64\advhjvfv.exe
        
        C:\Windows\system32\advhjvfv.exe 124 "C:\Windows\SysWOW64\umcjgswn.exe"
        25⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2164
        
        C:\Windows\SysWOW64\atlkzfsy.exe
        
        C:\Windows\system32\atlkzfsy.exe 124 "C:\Windows\SysWOW64\advhjvfv.exe"
        26⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2224
        
        C:\Windows\SysWOW64\regxivyc.exe
        
        C:\Windows\system32\regxivyc.exe 124 "C:\Windows\SysWOW64\atlkzfsy.exe"
        27⤵
        Executes dropped EXE
        
        PID:2432
        
        C:\Windows\SysWOW64\libigftx.exe
        
        C:\Windows\system32\libigftx.exe 124 "C:\Windows\SysWOW64\regxivyc.exe"
        28⤵
        Loads dropped DLL
        
        PID:2212
        
        C:\Windows\SysWOW64\drvyaibf.exe
        
        C:\Windows\system32\drvyaibf.exe 124 "C:\Windows\SysWOW64\libigftx.exe"
        29⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1684
        
        C:\Windows\SysWOW64\advclvlr.exe
        
        C:\Windows\system32\advclvlr.exe 124 "C:\Windows\SysWOW64\drvyaibf.exe"
        30⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2352
        
        C:\Windows\SysWOW64\advqlljy.exe
        
        C:\Windows\system32\advqlljy.exe 124 "C:\Windows\SysWOW64\advclvlr.exe"
        31⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2640
        
        C:\Windows\SysWOW64\comdvipc.exe
        
        C:\Windows\system32\comdvipc.exe 124 "C:\Windows\SysWOW64\advqlljy.exe"
        32⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2276
        
        C:\Windows\SysWOW64\igfuxdxk.exe
        
        C:\Windows\system32\igfuxdxk.exe 124 "C:\Windows\SysWOW64\comdvipc.exe"
        33⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2828
        
        C:\Windows\SysWOW64\xmlfnnkn.exe
        
        C:\Windows\system32\xmlfnnkn.exe 124 "C:\Windows\SysWOW64\igfuxdxk.exe"
        34⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2876
        
        C:\Windows\SysWOW64\atlviqtn.exe
        
        C:\Windows\system32\atlviqtn.exe 124 "C:\Windows\SysWOW64\xmlfnnkn.exe"
        35⤵
        Executes dropped EXE
        
        PID:2696
        
        C:\Windows\SysWOW64\netgxboq.exe
        
        C:\Windows\system32\netgxboq.exe 124 "C:\Windows\SysWOW64\atlviqtn.exe"
        36⤵
        Executes dropped EXE
        
        PID:2864
        
        C:\Windows\SysWOW64\regwsdxz.exe
        
        C:\Windows\system32\regwsdxz.exe 124 "C:\Windows\SysWOW64\netgxboq.exe"
        37⤵
        Executes dropped EXE
        
        PID:2632
        
        C:\Windows\SysWOW64\sechpokc.exe
        
        C:\Windows\system32\sechpokc.exe 124 "C:\Windows\SysWOW64\regwsdxz.exe"
        38⤵
        Executes dropped EXE
        
        PID:2676
        
        C:\Windows\SysWOW64\cmduzdqy.exe
        
        C:\Windows\system32\cmduzdqy.exe 124 "C:\Windows\SysWOW64\sechpokc.exe"
        39⤵
        Executes dropped EXE
        
        PID:664
        
        C:\Windows\SysWOW64\igfwoolb.exe
        
        C:\Windows\system32\igfwoolb.exe 124 "C:\Windows\SysWOW64\cmduzdqy.exe"
        40⤵
        Executes dropped EXE
        
        PID:524
        
        C:\Windows\SysWOW64\winvrquj.exe
        
        C:\Windows\system32\winvrquj.exe 124 "C:\Windows\SysWOW64\igfwoolb.exe"
        41⤵
        Executes dropped EXE
        
        PID:1952
        
        C:\Windows\SysWOW64\capxgbhm.exe
        
        C:\Windows\system32\capxgbhm.exe 124 "C:\Windows\SysWOW64\winvrquj.exe"
        42⤵
        Executes dropped EXE
        
        PID:780
        
        C:\Windows\SysWOW64\rdlwbeqm.exe
        
        C:\Windows\system32\rdlwbeqm.exe 124 "C:\Windows\SysWOW64\capxgbhm.exe"
        43⤵
        Executes dropped EXE
        
        PID:1272
        
        C:\Windows\SysWOW64\secjttvq.exe
        
        C:\Windows\system32\secjttvq.exe 124 "C:\Windows\SysWOW64\rdlwbeqm.exe"
        44⤵
        Executes dropped EXE
        
        PID:1940
        
        C:\Windows\SysWOW64\sysliert.exe
        
        C:\Windows\system32\sysliert.exe 124 "C:\Windows\SysWOW64\secjttvq.exe"
        45⤵
        Executes dropped EXE
        
        PID:2772
        
        C:\Windows\SysWOW64\comwxoew.exe
        
        C:\Windows\system32\comwxoew.exe 124 "C:\Windows\SysWOW64\sysliert.exe"
        46⤵
        Executes dropped EXE
        
        PID:1916
        
        C:\Windows\SysWOW64\igfnsrme.exe
        
        C:\Windows\system32\igfnsrme.exe 124 "C:\Windows\SysWOW64\comwxoew.exe"
        47⤵
        Executes dropped EXE
        
        PID:2444
        
        C:\Windows\SysWOW64\capakgsa.exe
        
        C:\Windows\system32\capakgsa.exe 124 "C:\Windows\SysWOW64\igfnsrme.exe"
        48⤵
        Executes dropped EXE
        
        PID:2796
        
        C:\Windows\SysWOW64\dllkzrnd.exe
        
        C:\Windows\system32\dllkzrnd.exe 124 "C:\Windows\SysWOW64\capakgsa.exe"
        49⤵
        Executes dropped EXE
        
        PID:2260
        
        C:\Windows\SysWOW64\umcnpbbg.exe
        
        C:\Windows\system32\umcnpbbg.exe 124 "C:\Windows\SysWOW64\dllkzrnd.exe"
        50⤵
        Executes dropped EXE
        
        PID:2168
        
        C:\Windows\SysWOW64\advlrejp.exe
        
        C:\Windows\system32\advlrejp.exe 124 "C:\Windows\SysWOW64\umcnpbbg.exe"
        51⤵
        Executes dropped EXE
        
        PID:1716
        
        C:\Windows\SysWOW64\comybups.exe
        
        C:\Windows\system32\comybups.exe 124 "C:\Windows\SysWOW64\advlrejp.exe"
        52⤵
        Executes dropped EXE
        
        PID:1808
        
        C:\Windows\SysWOW64\climcrfs.exe
        
        C:\Windows\system32\climcrfs.exe 124 "C:\Windows\SysWOW64\comybups.exe"
        53⤵
        Executes dropped EXE
        
        PID:2200
        
        C:\Windows\SysWOW64\schzthtw.exe
        
        C:\Windows\system32\schzthtw.exe 124 "C:\Windows\SysWOW64\climcrfs.exe"
        54⤵
        Executes dropped EXE
        
        PID:752
        
        C:\Windows\SysWOW64\capqojce.exe
        
        C:\Windows\system32\capqojce.exe 124 "C:\Windows\SysWOW64\schzthtw.exe"
        55⤵
        Executes dropped EXE
        
        PID:1968
        
        C:\Windows\SysWOW64\netaduph.exe
        
        C:\Windows\system32\netaduph.exe 124 "C:\Windows\SysWOW64\capqojce.exe"
        56⤵
        Executes dropped EXE
        
        PID:1616
        
        C:\Windows\SysWOW64\regrgoxh.exe
        
        C:\Windows\system32\regrgoxh.exe 124 "C:\Windows\SysWOW64\netaduph.exe"
        57⤵
        Executes dropped EXE
        
        PID:1696
        
        C:\Windows\SysWOW64\libbwztk.exe
        
        C:\Windows\system32\libbwztk.exe 124 "C:\Windows\SysWOW64\regrgoxh.exe"
        58⤵
        Executes dropped EXE
        
        PID:1708
        
        C:\Windows\SysWOW64\drvsqcbs.exe
        
        C:\Windows\system32\drvsqcbs.exe 124 "C:\Windows\SysWOW64\libbwztk.exe"
        59⤵
        Executes dropped EXE
        
        PID:2284
        
        C:\Windows\SysWOW64\clidgmow.exe
        
        C:\Windows\system32\clidgmow.exe 124 "C:\Windows\SysWOW64\drvsqcbs.exe"
        60⤵
        Executes dropped EXE
        
        PID:1804
        
        C:\Windows\SysWOW64\umctjpxw.exe
        
        C:\Windows\system32\umctjpxw.exe 124 "C:\Windows\SysWOW64\clidgmow.exe"
        61⤵
        Executes dropped EXE
        
        PID:1548
        
        C:\Windows\SysWOW64\atlgseda.exe
        
        C:\Windows\system32\atlgseda.exe 124 "C:\Windows\SysWOW64\umctjpxw.exe"
        62⤵
        Executes dropped EXE
        
        PID:1232
        
        C:\Windows\SysWOW64\atlutcbh.exe
        
        C:\Windows\system32\atlutcbh.exe 124 "C:\Windows\SysWOW64\atlgseda.exe"
        63⤵
        Executes dropped EXE
        
        PID:1684
        
        C:\Windows\SysWOW64\reghkrhl.exe
        
        C:\Windows\system32\reghkrhl.exe 124 "C:\Windows\SysWOW64\atlutcbh.exe"
        64⤵
        Executes dropped EXE
        
        PID:3056
        
        C:\Windows\SysWOW64\schgfupl.exe
        
        C:\Windows\system32\schgfupl.exe 124 "C:\Windows\SysWOW64\reghkrhl.exe"
        65⤵
        Executes dropped EXE
        
        PID:2276
        
        C:\Windows\SysWOW64\drviueco.exe
        
        C:\Windows\system32\drviueco.exe 124 "C:\Windows\SysWOW64\schgfupl.exe"
        66⤵
        Executes dropped EXE
        
        PID:2828
        
        C:\Windows\SysWOW64\clitkpqr.exe
        
        C:\Windows\system32\clitkpqr.exe 124 "C:\Windows\SysWOW64\drviueco.exe"
        67⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\umcjnsgz.exe
        
        C:\Windows\system32\umcjnsgz.exe 124 "C:\Windows\SysWOW64\clitkpqr.exe"
        68⤵
        Drops file in System32 directory
        
        PID:2696
        
        C:\Windows\SysWOW64\atlwwhmd.exe
        
        C:\Windows\system32\atlwwhmd.exe 124 "C:\Windows\SysWOW64\umcjnsgz.exe"
        69⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\seckxfcd.exe
        
        C:\Windows\system32\seckxfcd.exe 124 "C:\Windows\SysWOW64\atlwwhmd.exe"
        70⤵
        
        PID:1084
        
        C:\Windows\SysWOW64\cmdxouig.exe
        
        C:\Windows\system32\cmdxouig.exe 124 "C:\Windows\SysWOW64\seckxfcd.exe"
        71⤵
        Drops file in System32 directory
        
        PID:2856
        
        C:\Windows\SysWOW64\xmlojxrp.exe
        
        C:\Windows\system32\xmlojxrp.exe 124 "C:\Windows\SysWOW64\cmdxouig.exe"
        72⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\winzzhms.exe
        
        C:\Windows\system32\winzzhms.exe 124 "C:\Windows\SysWOW64\xmlojxrp.exe"
        73⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\netpbkus.exe
        
        C:\Windows\system32\netpbkus.exe 124 "C:\Windows\SysWOW64\winzzhms.exe"
        74⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\rdlarviv.exe
        
        C:\Windows\system32\rdlarviv.exe 124 "C:\Windows\SysWOW64\netpbkus.exe"
        75⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\libqmpqd.exe
        
        C:\Windows\system32\libqmpqd.exe 124 "C:\Windows\SysWOW64\rdlarviv.exe"
        76⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\secbbalg.exe
        
        C:\Windows\system32\secbbalg.exe 124 "C:\Windows\SysWOW64\libqmpqd.exe"
        77⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\clirwcuo.exe
        
        C:\Windows\system32\clirwcuo.exe 124 "C:\Windows\SysWOW64\secbbalg.exe"
        78⤵
        
        PID:692
        
        C:\Windows\SysWOW64\xmlensak.exe
        
        C:\Windows\system32\xmlensak.exe 124 "C:\Windows\SysWOW64\clirwcuo.exe"
        79⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\xmlsopqs.exe
        
        C:\Windows\system32\xmlsopqs.exe 124 "C:\Windows\SysWOW64\xmlensak.exe"
        80⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\netfffww.exe
        
        C:\Windows\system32\netfffww.exe 124 "C:\Windows\SysWOW64\xmlsopqs.exe"
        81⤵
        
        PID:1076
        
        C:\Windows\SysWOW64\regeaiew.exe
        
        C:\Windows\system32\regeaiew.exe 124 "C:\Windows\SysWOW64\netfffww.exe"
        82⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\cmdkbfcd.exe
        
        C:\Windows\system32\cmdkbfcd.exe 124 "C:\Windows\SysWOW64\regeaiew.exe"
        83⤵
        Drops file in System32 directory
        
        PID:1988
        
        C:\Windows\SysWOW64\xmliwill.exe
        
        C:\Windows\system32\xmliwill.exe 124 "C:\Windows\SysWOW64\cmdkbfcd.exe"
        84⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\rdlvnyrp.exe
        
        C:\Windows\system32\rdlvnyrp.exe 124 "C:\Windows\SysWOW64\xmliwill.exe"
        85⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\libmiazp.exe
        
        C:\Windows\system32\libmiazp.exe 124 "C:\Windows\SysWOW64\rdlvnyrp.exe"
        86⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\secwxlns.exe
        
        C:\Windows\system32\secwxlns.exe 124 "C:\Windows\SysWOW64\libmiazp.exe"
        87⤵
        
        PID:680
        
        C:\Windows\SysWOW64\clinanvb.exe
        
        C:\Windows\system32\clinanvb.exe 124 "C:\Windows\SysWOW64\secwxlns.exe"
        88⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\cmdyqyqe.exe
        
        C:\Windows\system32\cmdyqyqe.exe 124 "C:\Windows\SysWOW64\clinanvb.exe"
        89⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\xmlokaze.exe
        
        C:\Windows\system32\xmlokaze.exe 124 "C:\Windows\SysWOW64\cmdyqyqe.exe"
        90⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\atlnfdim.exe
        
        C:\Windows\system32\atlnfdim.exe 124 "C:\Windows\SysWOW64\xmlokaze.exe"
        91⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\comdiyqu.exe
        
        C:\Windows\system32\comdiyqu.exe 124 "C:\Windows\SysWOW64\atlnfdim.exe"
        92⤵
        Drops file in System32 directory
        
        PID:2052
        
        C:\Windows\SysWOW64\reggxilx.exe
        
        C:\Windows\system32\reggxilx.exe 124 "C:\Windows\SysWOW64\comdiyqu.exe"
        93⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\schesluy.exe
        
        C:\Windows\system32\schesluy.exe 124 "C:\Windows\SysWOW64\reggxilx.exe"
        94⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\winhivhb.exe
        
        C:\Windows\system32\winhivhb.exe 124 "C:\Windows\SysWOW64\schesluy.exe"
        95⤵
        Drops file in System32 directory
        
        PID:2664
        
        C:\Windows\SysWOW64\netfkyqj.exe
        
        C:\Windows\system32\netfkyqj.exe 124 "C:\Windows\SysWOW64\winhivhb.exe"
        96⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\rdliailm.exe
        
        C:\Windows\system32\rdliailm.exe 124 "C:\Windows\SysWOW64\netfkyqj.exe"
        97⤵
        
        PID:2684
        
        C:\Windows\SysWOW64\libgvlum.exe
        
        C:\Windows\system32\libgvlum.exe 124 "C:\Windows\SysWOW64\rdliailm.exe"
        98⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\clitmbzq.exe
        
        C:\Windows\system32\clitmbzq.exe 124 "C:\Windows\SysWOW64\libgvlum.exe"
        99⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\clihnypx.exe
        
        C:\Windows\system32\clihnypx.exe 124 "C:\Windows\SysWOW64\clitmbzq.exe"
        100⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\xmluwovb.exe
        
        C:\Windows\system32\xmluwovb.exe 124 "C:\Windows\SysWOW64\clihnypx.exe"
        101⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\atllzreb.exe
        
        C:\Windows\system32\atllzreb.exe 124 "C:\Windows\SysWOW64\xmluwovb.exe"
        102⤵
        
        PID:1056
        
        C:\Windows\SysWOW64\netvpbze.exe
        
        C:\Windows\system32\netvpbze.exe 124 "C:\Windows\SysWOW64\atllzreb.exe"
        103⤵
        
        PID:664
        
        C:\Windows\SysWOW64\regmjein.exe
        
        C:\Windows\system32\regmjein.exe 124 "C:\Windows\SysWOW64\netvpbze.exe"
        104⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\libxzovq.exe
        
        C:\Windows\system32\libxzovq.exe 124 "C:\Windows\SysWOW64\regmjein.exe"
        105⤵
        
        PID:844
        
        C:\Windows\SysWOW64\drvncrey.exe
        
        C:\Windows\system32\drvncrey.exe 124 "C:\Windows\SysWOW64\libxzovq.exe"
        106⤵
        
        PID:1984
        
        C:\Windows\SysWOW64\dllewtmy.exe
        
        C:\Windows\system32\dllewtmy.exe 124 "C:\Windows\SysWOW64\drvncrey.exe"
        107⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\concrovg.exe
        
        C:\Windows\system32\concrovg.exe 124 "C:\Windows\SysWOW64\dllewtmy.exe"
        108⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\libfhyqj.exe
        
        C:\Windows\system32\libfhyqj.exe 124 "C:\Windows\SysWOW64\concrovg.exe"
        109⤵
        Drops file in System32 directory
        
        PID:1812
        
        C:\Windows\SysWOW64\drvdjbzj.exe
        
        C:\Windows\system32\drvdjbzj.exe 124 "C:\Windows\SysWOW64\libfhyqj.exe"
        110⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\cligzmmn.exe
        
        C:\Windows\system32\cligzmmn.exe 124 "C:\Windows\SysWOW64\drvdjbzj.exe"
        111⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\umceuouv.exe
        
        C:\Windows\system32\umceuouv.exe 124 "C:\Windows\SysWOW64\cligzmmn.exe"
        112⤵
        
        PID:1916
        
        C:\Windows\SysWOW64\xmlhjzqy.exe
        
        C:\Windows\system32\xmlhjzqy.exe 124 "C:\Windows\SysWOW64\umceuouv.exe"
        113⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\atlfmbyg.exe
        
        C:\Windows\system32\atlfmbyg.exe 124 "C:\Windows\SysWOW64\xmlhjzqy.exe"
        114⤵
        
        PID:608
        
        C:\Windows\SysWOW64\regsvrec.exe
        
        C:\Windows\system32\regsvrec.exe 124 "C:\Windows\SysWOW64\atlfmbyg.exe"
        115⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\regywouj.exe
        
        C:\Windows\system32\regywouj.exe 124 "C:\Windows\SysWOW64\regsvrec.exe"
        116⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\drvtnean.exe
        
        C:\Windows\system32\drvtnean.exe 124 "C:\Windows\SysWOW64\regywouj.exe"
        117⤵
        Drops file in System32 directory
        
        PID:2532
        
        C:\Windows\SysWOW64\dllkihiv.exe
        
        C:\Windows\system32\dllkihiv.exe 124 "C:\Windows\SysWOW64\drvtnean.exe"
        118⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\umcuyreq.exe
        
        C:\Windows\system32\umcuyreq.exe 124 "C:\Windows\SysWOW64\dllkihiv.exe"
        119⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\advlaumz.exe
        
        C:\Windows\system32\advlaumz.exe 124 "C:\Windows\SysWOW64\umcuyreq.exe"
        120⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\atloqeac.exe
        
        C:\Windows\system32\atloqeac.exe 124 "C:\Windows\SysWOW64\advlaumz.exe"
        121⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\climlhik.exe
        
        C:\Windows\system32\climlhik.exe 124 "C:\Windows\SysWOW64\atloqeac.exe"
        122⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\cmdpajdn.exe
        
        C:\Windows\system32\cmdpajdn.exe 124 "C:\Windows\SysWOW64\climlhik.exe"
        123⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\xmlnvmmn.exe
        
        C:\Windows\system32\xmlnvmmn.exe 124 "C:\Windows\SysWOW64\cmdpajdn.exe"
        124⤵
        Drops file in System32 directory
        
        PID:1804
        
        C:\Windows\SysWOW64\netamksr.exe
        
        C:\Windows\system32\netamksr.exe 124 "C:\Windows\SysWOW64\xmlnvmmn.exe"
        125⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\rdldcmfu.exe
        
        C:\Windows\system32\rdldcmfu.exe 124 "C:\Windows\SysWOW64\netamksr.exe"
        126⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\connrxax.exe
        
        C:\Windows\system32\connrxax.exe 124 "C:\Windows\SysWOW64\rdldcmfu.exe"
        127⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\seceuzjx.exe
        
        C:\Windows\system32\seceuzjx.exe 124 "C:\Windows\SysWOW64\connrxax.exe"
        128⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\cmdrdppb.exe
        
        C:\Windows\system32\cmdrdppb.exe 124 "C:\Windows\SysWOW64\seceuzjx.exe"
        129⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\cmdfemfj.exe
        
        C:\Windows\system32\cmdfemfj.exe 124 "C:\Windows\SysWOW64\cmdrdppb.exe"
        130⤵
        
        PID:2880
        
        C:\Windows\SysWOW64\winswckn.exe
        
        C:\Windows\system32\winswckn.exe 124 "C:\Windows\SysWOW64\cmdfemfj.exe"
        131⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\netqqftn.exe
        
        C:\Windows\system32\netqqftn.exe 124 "C:\Windows\SysWOW64\winswckn.exe"
        132⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\contgpoq.exe
        
        C:\Windows\system32\contgpoq.exe 124 "C:\Windows\SysWOW64\netqqftn.exe"
        133⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\secsjsxy.exe
        
        C:\Windows\system32\secsjsxy.exe 124 "C:\Windows\SysWOW64\contgpoq.exe"
        134⤵
        
        PID:372
        
        C:\Windows\SysWOW64\sysuyckb.exe
        
        C:\Windows\system32\sysuyckb.exe 124 "C:\Windows\SysWOW64\secsjsxy.exe"
        135⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\cmdttftb.exe
        
        C:\Windows\system32\cmdttftb.exe 124 "C:\Windows\SysWOW64\sysuyckb.exe"
        136⤵
        
        PID:808
        
        C:\Windows\SysWOW64\igfvipoe.exe
        
        C:\Windows\system32\igfvipoe.exe 124 "C:\Windows\SysWOW64\cmdttftb.exe"
        137⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\advulsxn.exe
        
        C:\Windows\system32\advulsxn.exe 124 "C:\Windows\SysWOW64\igfvipoe.exe"
        138⤵
        
        PID:1072
        
        C:\Windows\SysWOW64\rdlhvicq.exe
        
        C:\Windows\system32\rdlhvicq.exe 124 "C:\Windows\SysWOW64\advulsxn.exe"
        139⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\comnvfsy.exe
        
        C:\Windows\system32\comnvfsy.exe 124 "C:\Windows\SysWOW64\rdlhvicq.exe"
        140⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\schinvyu.exe
        
        C:\Windows\system32\schinvyu.exe 124 "C:\Windows\SysWOW64\comnvfsy.exe"
        141⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\capyixpc.exe
        
        C:\Windows\system32\capyixpc.exe 124 "C:\Windows\SysWOW64\schinvyu.exe"
        142⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\dllbxicf.exe
        
        C:\Windows\system32\dllbxicf.exe 124 "C:\Windows\SysWOW64\capyixpc.exe"
        143⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\conzslln.exe
        
        C:\Windows\system32\conzslln.exe 124 "C:\Windows\SysWOW64\dllbxicf.exe"
        144⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\advcpnyi.exe
        
        C:\Windows\system32\advcpnyi.exe 124 "C:\Windows\SysWOW64\conzslln.exe"
        145⤵
        Drops file in System32 directory
        
        PID:1864
        
        C:\Windows\SysWOW64\sysakqoq.exe
        
        C:\Windows\system32\sysakqoq.exe 124 "C:\Windows\SysWOW64\advcpnyi.exe"
        146⤵
        Drops file in System32 directory
        
        PID:1384
        
        C:\Windows\SysWOW64\comdzact.exe
        
        C:\Windows\system32\comdzact.exe 124 "C:\Windows\SysWOW64\sysakqoq.exe"
        147⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\igfcudkc.exe
        
        C:\Windows\system32\igfcudkc.exe 124 "C:\Windows\SysWOW64\comdzact.exe"
        148⤵
        Drops file in System32 directory
        
        PID:1040
        
        C:\Windows\SysWOW64\cappmsqx.exe
        
        C:\Windows\system32\cappmsqx.exe 124 "C:\Windows\SysWOW64\igfcudkc.exe"
        149⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\capdmqgf.exe
        
        C:\Windows\system32\capdmqgf.exe 124 "C:\Windows\SysWOW64\cappmsqx.exe"
        150⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\conqefuj.exe
        
        C:\Windows\system32\conqefuj.exe 124 "C:\Windows\SysWOW64\capdmqgf.exe"
        151⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\secgzicr.exe
        
        C:\Windows\system32\secgzicr.exe 124 "C:\Windows\SysWOW64\conqefuj.exe"
        152⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\sysrotqm.exe
        
        C:\Windows\system32\sysrotqm.exe 124 "C:\Windows\SysWOW64\secgzicr.exe"
        153⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\dllhjvyu.exe
        
        C:\Windows\system32\dllhjvyu.exe 124 "C:\Windows\SysWOW64\sysrotqm.exe"
        154⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\umcsggux.exe
        
        C:\Windows\system32\umcsggux.exe 124 "C:\Windows\SysWOW64\dllhjvyu.exe"
        155⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\advibicf.exe
        
        C:\Windows\system32\advibicf.exe 124 "C:\Windows\SysWOW64\umcsggux.exe"
        156⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\atllqtpj.exe
        
        C:\Windows\system32\atllqtpj.exe 124 "C:\Windows\SysWOW64\advibicf.exe"
        157⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\comjlvyj.exe
        
        C:\Windows\system32\comjlvyj.exe 124 "C:\Windows\SysWOW64\atllqtpj.exe"
        158⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\schwdlen.exe
        
        C:\Windows\system32\schwdlen.exe 124 "C:\Windows\SysWOW64\comjlvyj.exe"
        159⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\schkdicu.exe
        
        C:\Windows\system32\schkdicu.exe 124 "C:\Windows\SysWOW64\schwdlen.exe"
        160⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\dllxnyiy.exe
        
        C:\Windows\system32\dllxnyiy.exe 124 "C:\Windows\SysWOW64\schkdicu.exe"
        161⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\conoqbqy.exe
        
        C:\Windows\system32\conoqbqy.exe 124 "C:\Windows\SysWOW64\dllxnyiy.exe"
        162⤵
        
        PID:2684
        
        C:\Windows\SysWOW64\advzfldb.exe
        
        C:\Windows\system32\advzfldb.exe 124 "C:\Windows\SysWOW64\conoqbqy.exe"
        163⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\syspagmj.exe
        
        C:\Windows\system32\syspagmj.exe 124 "C:\Windows\SysWOW64\advzfldb.exe"
        164⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\comapqhm.exe
        
        C:\Windows\system32\comapqhm.exe 124 "C:\Windows\SysWOW64\syspagmj.exe"
        165⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\igfqstqn.exe
        
        C:\Windows\system32\igfqstqn.exe 124 "C:\Windows\SysWOW64\comapqhm.exe"
        166⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\xmlbiddq.exe
        
        C:\Windows\system32\xmlbiddq.exe 124 "C:\Windows\SysWOW64\igfqstqn.exe"
        167⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\atlrcgmy.exe
        
        C:\Windows\system32\atlrcgmy.exe 124 "C:\Windows\SysWOW64\xmlbiddq.exe"
        168⤵
        Drops file in System32 directory
        
        PID:1224
        
        C:\Windows\SysWOW64\coneuwsc.exe
        
        C:\Windows\system32\coneuwsc.exe 124 "C:\Windows\SysWOW64\atlrcgmy.exe"
        169⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\regsutqb.exe
        
        C:\Windows\system32\regsutqb.exe 124 "C:\Windows\SysWOW64\coneuwsc.exe"
        170⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\drvfejvf.exe
        
        C:\Windows\system32\drvfejvf.exe 124 "C:\Windows\SysWOW64\regsutqb.exe"
        171⤵
        
        PID:976
        
        C:\Windows\SysWOW64\dllehmen.exe
        
        C:\Windows\system32\dllehmen.exe 124 "C:\Windows\SysWOW64\drvfejvf.exe"
        172⤵
        
        PID:304
        
        C:\Windows\SysWOW64\umcgwwrq.exe
        
        C:\Windows\system32\umcgwwrq.exe 124 "C:\Windows\SysWOW64\dllehmen.exe"
        173⤵
        
        PID:856
        
        C:\Windows\SysWOW64\advfrzaq.exe
        
        C:\Windows\system32\advfrzaq.exe 124 "C:\Windows\SysWOW64\umcgwwrq.exe"
        174⤵
        
        PID:2660
        
        C:\Windows\SysWOW64\atligjvu.exe
        
        C:\Windows\system32\atligjvu.exe 124 "C:\Windows\SysWOW64\advfrzaq.exe"
        175⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\comyjmec.exe
        
        C:\Windows\system32\comyjmec.exe 124 "C:\Windows\SysWOW64\atligjvu.exe"
        176⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\regjzwrf.exe
        
        C:\Windows\system32\regjzwrf.exe 124 "C:\Windows\SysWOW64\comyjmec.exe"
        177⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\schztzzn.exe
        
        C:\Windows\system32\schztzzn.exe 124 "C:\Windows\SysWOW64\regjzwrf.exe"
        178⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\dllmlpfj.exe
        
        C:\Windows\system32\dllmlpfj.exe 124 "C:\Windows\SysWOW64\schztzzn.exe"
        179⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\umcamedq.exe
        
        C:\Windows\system32\umcamedq.exe 124 "C:\Windows\SysWOW64\dllmlpfj.exe"
        180⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\atlnvcju.exe
        
        C:\Windows\system32\atlnvcju.exe 124 "C:\Windows\SysWOW64\umcamedq.exe"
        181⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\commqesu.exe
        
        C:\Windows\system32\commqesu.exe 124 "C:\Windows\SysWOW64\atlnvcju.exe"
        182⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\cmdonhfx.exe
        
        C:\Windows\system32\cmdonhfx.exe 124 "C:\Windows\SysWOW64\commqesu.exe"
        183⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\xmlnijng.exe
        
        C:\Windows\system32\xmlnijng.exe 124 "C:\Windows\SysWOW64\cmdonhfx.exe"
        184⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\winpyujj.exe
        
        C:\Windows\system32\winpyujj.exe 124 "C:\Windows\SysWOW64\xmlnijng.exe"
        185⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\netosxrr.exe
        
        C:\Windows\system32\netosxrr.exe 124 "C:\Windows\SysWOW64\winpyujj.exe"
        186⤵
        
        PID:680
        
        C:\Windows\SysWOW64\rdlqqhfm.exe
        
        C:\Windows\system32\rdlqqhfm.exe 124 "C:\Windows\SysWOW64\netosxrr.exe"
        187⤵
        
        PID:604
        
        C:\Windows\SysWOW64\libplknu.exe
        
        C:\Windows\system32\libplknu.exe 124 "C:\Windows\SysWOW64\rdlqqhfm.exe"
        188⤵
        Drops file in System32 directory
        
        PID:2332
        
        C:\Windows\SysWOW64\clicczty.exe
        
        C:\Windows\system32\clicczty.exe 124 "C:\Windows\SysWOW64\libplknu.exe"
        189⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\cliivxrf.exe
        
        C:\Windows\system32\cliivxrf.exe 124 "C:\Windows\SysWOW64\clicczty.exe"
        190⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\xmldmmxb.exe
        
        C:\Windows\system32\xmldmmxb.exe 124 "C:\Windows\SysWOW64\cliivxrf.exe"
        191⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\atluhpfj.exe
        
        C:\Windows\system32\atluhpfj.exe 124 "C:\Windows\SysWOW64\xmldmmxb.exe"
        192⤵
        Drops file in System32 directory
        
        PID:2344
        
        C:\Windows\SysWOW64\netweztm.exe
        
        C:\Windows\system32\netweztm.exe 124 "C:\Windows\SysWOW64\atluhpfj.exe"
        193⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\regvzcbv.exe
        
        C:\Windows\system32\regvzcbv.exe 124 "C:\Windows\SysWOW64\netweztm.exe"
        194⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\libxpnwy.exe
        
        C:\Windows\system32\libxpnwy.exe 124 "C:\Windows\SysWOW64\regvzcbv.exe"
        195⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\drvwjpfy.exe
        
        C:\Windows\system32\drvwjpfy.exe 124 "C:\Windows\SysWOW64\libxpnwy.exe"
        196⤵
        
        PID:2688
        
        C:\Windows\SysWOW64\capyzasb.exe
        
        C:\Windows\system32\capyzasb.exe 124 "C:\Windows\SysWOW64\drvwjpfy.exe"
        197⤵
        Drops file in System32 directory
        
        PID:2868
        
        C:\Windows\SysWOW64\xmllqpyf.exe
        
        C:\Windows\system32\xmllqpyf.exe 124 "C:\Windows\SysWOW64\capyzasb.exe"
        198⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\advwgati.exe
        
        C:\Windows\system32\advwgati.exe 124 "C:\Windows\SysWOW64\xmllqpyf.exe"
        199⤵
        Drops file in System32 directory
        
        PID:2300
        
        C:\Windows\SysWOW64\sysmjcci.exe
        
        C:\Windows\system32\sysmjcci.exe 124 "C:\Windows\SysWOW64\advwgati.exe"
        200⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\comxyfpl.exe
        
        C:\Windows\system32\comxyfpl.exe 124 "C:\Windows\SysWOW64\sysmjcci.exe"
        201⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\igfntiyt.exe
        
        C:\Windows\system32\igfntiyt.exe 124 "C:\Windows\SysWOW64\comxyfpl.exe"
        202⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\winmokgc.exe
        
        C:\Windows\system32\winmokgc.exe 124 "C:\Windows\SysWOW64\igfntiyt.exe"
        203⤵
        
        PID:2880
        
        C:\Windows\SysWOW64\netcqnxc.exe
        
        C:\Windows\system32\netcqnxc.exe 124 "C:\Windows\SysWOW64\winmokgc.exe"
        204⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\rdlngxkf.exe
        
        C:\Windows\system32\rdlngxkf.exe 124 "C:\Windows\SysWOW64\netcqnxc.exe"
        205⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\libebatn.exe
        
        C:\Windows\system32\libebatn.exe 124 "C:\Windows\SysWOW64\rdlngxkf.exe"
        206⤵
        Drops file in System32 directory
        
        PID:1956
        
        C:\Windows\SysWOW64\secgqkgq.exe
        
        C:\Windows\system32\secgqkgq.exe 124 "C:\Windows\SysWOW64\libebatn.exe"
        207⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\cliftnxq.exe
        
        C:\Windows\system32\cliftnxq.exe 124 "C:\Windows\SysWOW64\secgqkgq.exe"
        208⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\xmlscdcu.exe
        
        C:\Windows\system32\xmlscdcu.exe 124 "C:\Windows\SysWOW64\cliftnxq.exe"
        209⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\congdasc.exe
        
        C:\Windows\system32\congdasc.exe 124 "C:\Windows\SysWOW64\xmlscdcu.exe"
        210⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\secwydbk.exe
        
        C:\Windows\system32\secwydbk.exe 124 "C:\Windows\SysWOW64\congdasc.exe"
        211⤵
        
        PID:1288
        
        C:\Windows\SysWOW64\clivbgkk.exe
        
        C:\Windows\system32\clivbgkk.exe 124 "C:\Windows\SysWOW64\secwydbk.exe"
        212⤵
        
        PID:296
        
        C:\Windows\SysWOW64\cmdxqqfn.exe
        
        C:\Windows\system32\cmdxqqfn.exe 124 "C:\Windows\SysWOW64\clivbgkk.exe"
        213⤵
        
        PID:2860
        
        C:\Windows\SysWOW64\xmlwllnv.exe
        
        C:\Windows\system32\xmlwllnv.exe 124 "C:\Windows\SysWOW64\cmdxqqfn.exe"
        214⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\netjcitz.exe
        
        C:\Windows\system32\netjcitz.exe 124 "C:\Windows\SysWOW64\xmlwllnv.exe"
        215⤵
        
        PID:560
        
        C:\Windows\SysWOW64\netpdyjy.exe
        
        C:\Windows\system32\netpdyjy.exe 124 "C:\Windows\SysWOW64\netjcitz.exe"
        216⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\regnyash.exe
        
        C:\Windows\system32\regnyash.exe 124 "C:\Windows\SysWOW64\netpdyjy.exe"
        217⤵
        
        PID:580
        
        C:\Windows\SysWOW64\schesdbp.exe
        
        C:\Windows\system32\schesdbp.exe 124 "C:\Windows\SysWOW64\regnyash.exe"
        218⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\drvpqnws.exe
        
        C:\Windows\system32\drvpqnws.exe 124 "C:\Windows\SysWOW64\schesdbp.exe"
        219⤵
        
        PID:2056
        
        C:\Windows\SysWOW64\dllflqes.exe
        
        C:\Windows\system32\dllflqes.exe 124 "C:\Windows\SysWOW64\drvpqnws.exe"
        220⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\regeftna.exe
        
        C:\Windows\system32\regeftna.exe 124 "C:\Windows\SysWOW64\dllflqes.exe"
        221⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\schuiwwi.exe
        
        C:\Windows\system32\schuiwwi.exe 124 "C:\Windows\SysWOW64\regeftna.exe"
        222⤵
        Drops file in System32 directory
        
        PID:1700
        
        C:\Windows\SysWOW64\capkdyej.exe
        
        C:\Windows\system32\capkdyej.exe 124 "C:\Windows\SysWOW64\schuiwwi.exe"
        223⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\dllvsjzm.exe
        
        C:\Windows\system32\dllvsjzm.exe 124 "C:\Windows\SysWOW64\capkdyej.exe"
        224⤵
        
        PID:2524
        
        C:\Windows\SysWOW64\umcyitnp.exe
        
        C:\Windows\system32\umcyitnp.exe 124 "C:\Windows\SysWOW64\dllvsjzm.exe"
        225⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\advwlwvx.exe
        
        C:\Windows\system32\advwlwvx.exe 124 "C:\Windows\SysWOW64\umcyitnp.exe"
        226⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\comjulbt.exe
        
        C:\Windows\system32\comjulbt.exe 124 "C:\Windows\SysWOW64\advwlwvx.exe"
        227⤵
        
        PID:2172
        
        C:\Windows\SysWOW64\regxvbra.exe
        
        C:\Windows\system32\regxvbra.exe 124 "C:\Windows\SysWOW64\comjulbt.exe"
        228⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\drvkmyfe.exe
        
        C:\Windows\system32\drvkmyfe.exe 124 "C:\Windows\SysWOW64\regxvbra.exe"
        229⤵
        Drops file in System32 directory
        
        PID:2972
        
        C:\Windows\SysWOW64\dllbhtnm.exe
        
        C:\Windows\system32\dllbhtnm.exe 124 "C:\Windows\SysWOW64\drvkmyfe.exe"
        230⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\umclxebp.exe
        
        C:\Windows\system32\umclxebp.exe 124 "C:\Windows\SysWOW64\dllbhtnm.exe"
        231⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\atlyobgl.exe
        
        C:\Windows\system32\atlyobgl.exe 124 "C:\Windows\SysWOW64\umclxebp.exe"
        232⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\atlmprwt.exe
        
        C:\Windows\system32\atlmprwt.exe 124 "C:\Windows\SysWOW64\atlyobgl.exe"
        233⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\clidktnb.exe
        
        C:\Windows\system32\clidktnb.exe 124 "C:\Windows\SysWOW64\atlmprwt.exe"
        234⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\schqbjtf.exe
        
        C:\Windows\system32\schqbjtf.exe 124 "C:\Windows\SysWOW64\clidktnb.exe"
        235⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\xmleugje.exe
        
        C:\Windows\system32\xmleugje.exe 124 "C:\Windows\SysWOW64\schqbjtf.exe"
        236⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\netrlwpi.exe
        
        C:\Windows\system32\netrlwpi.exe 124 "C:\Windows\SysWOW64\xmleugje.exe"
        237⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\regqgzxq.exe
        
        C:\Windows\system32\regqgzxq.exe 124 "C:\Windows\SysWOW64\netrlwpi.exe"
        238⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\regwhwvy.exe
        
        C:\Windows\system32\regwhwvy.exe 124 "C:\Windows\SysWOW64\regqgzxq.exe"
        239⤵
        Drops file in System32 directory
        
        PID:2564
        
        C:\Windows\SysWOW64\schukzey.exe
        
        C:\Windows\system32\schukzey.exe 124 "C:\Windows\SysWOW64\regwhwvy.exe"
        240⤵
        
        PID:2696
        
        C:\Windows\SysWOW64\dllhtpkc.exe
        
        C:\Windows\system32\dllhtpkc.exe 124 "C:\Windows\SysWOW64\schukzey.exe"
        241⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\dllvueaj.exe
        
        C:\Windows\system32\dllvueaj.exe 124 "C:\Windows\SysWOW64\dllhtpkc.exe"
        242⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\advilcgn.exe
        
        C:\Windows\system32\advilcgn.exe 124 "C:\Windows\SysWOW64\dllvueaj.exe"
        243⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\syszgeon.exe
        
        C:\Windows\system32\syszgeon.exe 124 "C:\Windows\SysWOW64\advilcgn.exe"
        244⤵
        
        PID:2856
        
        C:\Windows\SysWOW64\comjvhjq.exe
        
        C:\Windows\system32\comjvhjq.exe 124 "C:\Windows\SysWOW64\syszgeon.exe"
        245⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\regmlrxt.exe
        
        C:\Windows\system32\regmlrxt.exe 124 "C:\Windows\SysWOW64\comjvhjq.exe"
        246⤵
        
        PID:544
        
        C:\Windows\SysWOW64\drvzcpcx.exe
        
        C:\Windows\system32\drvzcpcx.exe 124 "C:\Windows\SysWOW64\regmlrxt.exe"
        247⤵
        
        PID:472
        
        C:\Windows\SysWOW64\clijsrya.exe
        
        C:\Windows\system32\clijsrya.exe 124 "C:\Windows\SysWOW64\drvzcpcx.exe"
        248⤵
        
        PID:1964
        
        C:\Windows\SysWOW64\xmlwjpdw.exe
        
        C:\Windows\system32\xmlwjpdw.exe 124 "C:\Windows\SysWOW64\clijsrya.exe"
        249⤵
        
        PID:684
        
        C:\Windows\SysWOW64\conlkeud.exe
        
        C:\Windows\system32\conlkeud.exe 124 "C:\Windows\SysWOW64\xmlwjpdw.exe"
        250⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\secbfhcm.exe
        
        C:\Windows\system32\secbfhcm.exe 124 "C:\Windows\SysWOW64\conlkeud.exe"
        251⤵
        Drops file in System32 directory
        
        PID:976
        
        C:\Windows\SysWOW64\cliaaklu.exe
        
        C:\Windows\system32\cliaaklu.exe 124 "C:\Windows\SysWOW64\secbfhcm.exe"
        252⤵
        Drops file in System32 directory
        
        PID:1932
        
        C:\Windows\SysWOW64\cmdcpugp.exe
        
        C:\Windows\system32\cmdcpugp.exe 124 "C:\Windows\SysWOW64\cliaaklu.exe"
        253⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\xmlbsxpx.exe
        
        C:\Windows\system32\xmlbsxpx.exe 124 "C:\Windows\SysWOW64\cmdcpugp.exe"
        254⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\netobmub.exe
        
        C:\Windows\system32\netobmub.exe 124 "C:\Windows\SysWOW64\xmlbsxpx.exe"
        255⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\netuckki.exe
        
        C:\Windows\system32\netuckki.exe 124 "C:\Windows\SysWOW64\netobmub.exe"
        256⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\libpuaqe.exe
        
        C:\Windows\system32\libpuaqe.exe 124 "C:\Windows\SysWOW64\netuckki.exe"
        257⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\drvfoczm.exe
        
        C:\Windows\system32\drvfoczm.exe 124 "C:\Windows\SysWOW64\libpuaqe.exe"
        258⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\cliienup.exe
        
        C:\Windows\system32\cliienup.exe 124 "C:\Windows\SysWOW64\drvfoczm.exe"
        259⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\umcghpdy.exe
        
        C:\Windows\system32\umcghpdy.exe 124 "C:\Windows\SysWOW64\cliienup.exe"
        260⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\xmljwaqt.exe
        
        C:\Windows\system32\xmljwaqt.exe 124 "C:\Windows\SysWOW64\umcghpdy.exe"
        261⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\atlhrcyb.exe
        
        C:\Windows\system32\atlhrcyb.exe 124 "C:\Windows\SysWOW64\xmljwaqt.exe"
        262⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\syskgnue.exe
        
        C:\Windows\system32\syskgnue.exe 124 "C:\Windows\SysWOW64\atlhrcyb.exe"
        263⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\cmdijicm.exe
        
        C:\Windows\system32\cmdijicm.exe 124 "C:\Windows\SysWOW64\syskgnue.exe"
        264⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\drvvsfii.exe
        
        C:\Windows\system32\drvvsfii.exe 124 "C:\Windows\SysWOW64\cmdijicm.exe"
        265⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\winktvyp.exe
        
        C:\Windows\system32\winktvyp.exe 124 "C:\Windows\SysWOW64\drvvsfii.exe"
        266⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\rdlxlket.exe
        
        C:\Windows\system32\rdlxlket.exe 124 "C:\Windows\SysWOW64\winktvyp.exe"
        267⤵
        
        PID:680
        
        C:\Windows\SysWOW64\libnfnnb.exe
        
        C:\Windows\system32\libnfnnb.exe 124 "C:\Windows\SysWOW64\rdlxlket.exe"
        268⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\secyvxif.exe
        
        C:\Windows\system32\secyvxif.exe 124 "C:\Windows\SysWOW64\libnfnnb.exe"
        269⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\clioqaqf.exe
        
        C:\Windows\system32\clioqaqf.exe 124 "C:\Windows\SysWOW64\secyvxif.exe"
        270⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\cmdznkei.exe
        
        C:\Windows\system32\cmdznkei.exe 124 "C:\Windows\SysWOW64\clioqaqf.exe"
        271⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\xmlpinmq.exe
        
        C:\Windows\system32\xmlpinmq.exe 124 "C:\Windows\SysWOW64\cmdznkei.exe"
        272⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\winaxyht.exe
        
        C:\Windows\system32\winaxyht.exe 124 "C:\Windows\SysWOW64\xmlpinmq.exe"
        273⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\netqsaqt.exe
        
        C:\Windows\system32\netqsaqt.exe 124 "C:\Windows\SysWOW64\winaxyht.exe"
        274⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\libdkqwx.exe
        
        C:\Windows\system32\libdkqwx.exe 124 "C:\Windows\SysWOW64\netqsaqt.exe"
        275⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\schrknmf.exe
        
        C:\Windows\system32\schrknmf.exe 124 "C:\Windows\SysWOW64\libdkqwx.exe"
        276⤵
        
        PID:1684
        
        C:\Windows\SysWOW64\cmdecdsi.exe
        
        C:\Windows\system32\cmdecdsi.exe 124 "C:\Windows\SysWOW64\schrknmf.exe"
        277⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\xmlvxgij.exe
        
        C:\Windows\system32\xmlvxgij.exe 124 "C:\Windows\SysWOW64\cmdecdsi.exe"
        278⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\advgmqvm.exe
        
        C:\Windows\system32\advgmqvm.exe 124 "C:\Windows\SysWOW64\xmlvxgij.exe"
        279⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\syswhteu.exe
        
        C:\Windows\system32\syswhteu.exe 124 "C:\Windows\SysWOW64\advgmqvm.exe"
        280⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\comhwdrx.exe
        
        C:\Windows\system32\comhwdrx.exe 124 "C:\Windows\SysWOW64\syswhteu.exe"
        281⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\igfxzgix.exe
        
        C:\Windows\system32\igfxzgix.exe 124 "C:\Windows\SysWOW64\comhwdrx.exe"
        282⤵
        
        PID:1296
        
        C:\Windows\SysWOW64\schioiva.exe
        
        C:\Windows\system32\schioiva.exe 124 "C:\Windows\SysWOW64\igfxzgix.exe"
        283⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\capyjlei.exe
        
        C:\Windows\system32\capyjlei.exe 124 "C:\Windows\SysWOW64\schioiva.exe"
        284⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\conlbjkm.exe
        
        C:\Windows\system32\conlbjkm.exe 124 "C:\Windows\SysWOW64\capyjlei.exe"
        285⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\conzbyau.exe
        
        C:\Windows\system32\conzbyau.exe 124 "C:\Windows\SysWOW64\conlbjkm.exe"
        286⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\sysmlonp.exe
        
        C:\Windows\system32\sysmlonp.exe 124 "C:\Windows\SysWOW64\conzbyau.exe"
        287⤵
        
        PID:664
        
        C:\Windows\SysWOW64\comxiybt.exe
        
        C:\Windows\system32\comxiybt.exe 124 "C:\Windows\SysWOW64\sysmlonp.exe"
        288⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\schksogw.exe
        
        C:\Windows\system32\schksogw.exe 124 "C:\Windows\SysWOW64\comxiybt.exe"
        289⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\schyslwe.exe
        
        C:\Windows\system32\schyslwe.exe 124 "C:\Windows\SysWOW64\schksogw.exe"
        290⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\dlllkbca.exe
        
        C:\Windows\system32\dlllkbca.exe 124 "C:\Windows\SysWOW64\schyslwe.exe"
        291⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\conbfeti.exe
        
        C:\Windows\system32\conbfeti.exe 124 "C:\Windows\SysWOW64\dlllkbca.exe"
        292⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\advmuogl.exe
        
        C:\Windows\system32\advmuogl.exe 124 "C:\Windows\SysWOW64\conbfeti.exe"
        293⤵
        
        PID:828
        
        C:\Windows\SysWOW64\sysdprpt.exe
        
        C:\Windows\system32\sysdprpt.exe 124 "C:\Windows\SysWOW64\advmuogl.exe"
        294⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\clinmbcw.exe
        
        C:\Windows\system32\clinmbcw.exe 124 "C:\Windows\SysWOW64\sysdprpt.exe"
        295⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\umcehesw.exe
        
        C:\Windows\system32\umcehesw.exe 124 "C:\Windows\SysWOW64\clinmbcw.exe"
        296⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\xmlgxoga.exe
        
        C:\Windows\system32\xmlgxoga.exe 124 "C:\Windows\SysWOW64\umcehesw.exe"
        297⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\atlfrroi.exe
        
        C:\Windows\system32\atlfrroi.exe 124 "C:\Windows\SysWOW64\xmlgxoga.exe"
        298⤵
        Drops file in System32 directory
        
        PID:580
        
        C:\Windows\SysWOW64\regsjhum.exe
        
        C:\Windows\system32\regsjhum.exe 124 "C:\Windows\SysWOW64\atlfrroi.exe"
        299⤵
        
        PID:768
        
        C:\Windows\SysWOW64\reggjekl.exe
        
        C:\Windows\system32\reggjekl.exe 124 "C:\Windows\SysWOW64\regsjhum.exe"
        300⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\drvttuyp.exe
        
        C:\Windows\system32\drvttuyp.exe 124 "C:\Windows\SysWOW64\reggjekl.exe"
        301⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\dlljwwhx.exe
        
        C:\Windows\system32\dlljwwhx.exe 124 "C:\Windows\SysWOW64\drvttuyp.exe"
        302⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\umculhua.exe
        
        C:\Windows\system32\umculhua.exe 124 "C:\Windows\SysWOW64\dlljwwhx.exe"
        303⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\xmlwbrhd.exe
        
        C:\Windows\system32\xmlwbrhd.exe 124 "C:\Windows\SysWOW64\umculhua.exe"
        304⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\netrshnz.exe
        
        C:\Windows\system32\netrshnz.exe 124 "C:\Windows\SysWOW64\xmlwbrhd.exe"
        305⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\reginkdh.exe
        
        C:\Windows\system32\reginkdh.exe 124 "C:\Windows\SysWOW64\netrshnz.exe"
        306⤵
        
        PID:972
        
        C:\Windows\SysWOW64\liblcurk.exe
        
        C:\Windows\system32\liblcurk.exe 124 "C:\Windows\SysWOW64\reginkdh.exe"
        307⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\drvjfpzk.exe
        
        C:\Windows\system32\drvjfpzk.exe 124 "C:\Windows\SysWOW64\liblcurk.exe"
        308⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\climvzmo.exe
        
        C:\Windows\system32\climvzmo.exe 124 "C:\Windows\SysWOW64\drvjfpzk.exe"
        309⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\umckpcdw.exe
        
        C:\Windows\system32\umckpcdw.exe 124 "C:\Windows\SysWOW64\climvzmo.exe"
        310⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\connfmqz.exe
        
        C:\Windows\system32\connfmqz.exe 124 "C:\Windows\SysWOW64\umckpcdw.exe"
        311⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\seclipzh.exe
        
        C:\Windows\system32\seclipzh.exe 124 "C:\Windows\SysWOW64\connfmqz.exe"
        312⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\regyrefd.exe
        
        C:\Windows\system32\regyrefd.exe 124 "C:\Windows\SysWOW64\seclipzh.exe"
        313⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\cmdmscvk.exe
        
        C:\Windows\system32\cmdmscvk.exe 124 "C:\Windows\SysWOW64\regyrefd.exe"
        314⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\winzjsio.exe
        
        C:\Windows\system32\winzjsio.exe 124 "C:\Windows\SysWOW64\cmdmscvk.exe"
        315⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\netqeurw.exe
        
        C:\Windows\system32\netqeurw.exe 124 "C:\Windows\SysWOW64\winzjsio.exe"
        316⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\rdlatfer.exe
        
        C:\Windows\system32\rdlatfer.exe 124 "C:\Windows\SysWOW64\netqeurw.exe"
        317⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\librohna.exe
        
        C:\Windows\system32\librohna.exe 124 "C:\Windows\SysWOW64\rdlatfer.exe"
        318⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\seccmsid.exe
        
        C:\Windows\system32\seccmsid.exe 124 "C:\Windows\SysWOW64\librohna.exe"
        319⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\clisgurl.exe
        
        C:\Windows\system32\clisgurl.exe 124 "C:\Windows\SysWOW64\seccmsid.exe"
        320⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\cmdvwfeo.exe
        
        C:\Windows\system32\cmdvwfeo.exe 124 "C:\Windows\SysWOW64\clisgurl.exe"
        321⤵
        
        PID:2696
        
        C:\Windows\SysWOW64\xmltrino.exe
        
        C:\Windows\system32\xmltrino.exe 124 "C:\Windows\SysWOW64\cmdvwfeo.exe"
        322⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\rdlgixss.exe
        
        C:\Windows\system32\rdlgixss.exe 124 "C:\Windows\SysWOW64\xmltrino.exe"
        323⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\comujnqz.exe
        
        C:\Windows\system32\comujnqz.exe 124 "C:\Windows\SysWOW64\rdlgixss.exe"
        324⤵
        Drops file in System32 directory
        
        PID:1852
        
        C:\Windows\SysWOW64\sechskwd.exe
        
        C:\Windows\system32\sechskwd.exe 124 "C:\Windows\SysWOW64\comujnqz.exe"
        325⤵
        Drops file in System32 directory
        
        PID:1172
        
        C:\Windows\SysWOW64\cliyvnfd.exe
        
        C:\Windows\system32\cliyvnfd.exe 124 "C:\Windows\SysWOW64\sechskwd.exe"
        326⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\dllilpsh.exe
        
        C:\Windows\system32\dllilpsh.exe 124 "C:\Windows\SysWOW64\cliyvnfd.exe"
        327⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\conzfsbp.exe
        
        C:\Windows\system32\conzfsbp.exe 124 "C:\Windows\SysWOW64\dllilpsh.exe"
        328⤵
        Drops file in System32 directory
        
        PID:1452
        
        C:\Windows\SysWOW64\advjvcws.exe
        
        C:\Windows\system32\advjvcws.exe 124 "C:\Windows\SysWOW64\conzfsbp.exe"
        329⤵
        
        PID:1964
        
        C:\Windows\SysWOW64\sysayfes.exe
        
        C:\Windows\system32\sysayfes.exe 124 "C:\Windows\SysWOW64\advjvcws.exe"
        330⤵
        Drops file in System32 directory
        
        PID:684
        
        C:\Windows\SysWOW64\cmdysina.exe
        
        C:\Windows\system32\cmdysina.exe 124 "C:\Windows\SysWOW64\sysayfes.exe"
        331⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\xmlpnlwi.exe
        
        C:\Windows\system32\xmlpnlwi.exe 124 "C:\Windows\SysWOW64\cmdysina.exe"
        332⤵
        
        PID:976
        
        C:\Windows\SysWOW64\winrlvjl.exe
        
        C:\Windows\system32\winrlvjl.exe 124 "C:\Windows\SysWOW64\xmlpnlwi.exe"
        333⤵
        
        PID:296
        
        C:\Windows\SysWOW64\netqfysm.exe
        
        C:\Windows\system32\netqfysm.exe 124 "C:\Windows\SysWOW64\winrlvjl.exe"
        334⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\rdltvinp.exe
        
        C:\Windows\system32\rdltvinp.exe 124 "C:\Windows\SysWOW64\netqfysm.exe"
        335⤵
        Drops file in System32 directory
        
        PID:904
        
        C:\Windows\SysWOW64\librqlvx.exe
        
        C:\Windows\system32\librqlvx.exe 124 "C:\Windows\SysWOW64\rdltvinp.exe"
        336⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\secunvja.exe
        
        C:\Windows\system32\secunvja.exe 124 "C:\Windows\SysWOW64\librqlvx.exe"
        337⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\capsiyra.exe
        
        C:\Windows\system32\capsiyra.exe 124 "C:\Windows\SysWOW64\secunvja.exe"
        338⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\xmlfrnxe.exe
        
        C:\Windows\system32\xmlfrnxe.exe 124 "C:\Windows\SysWOW64\capsiyra.exe"
        339⤵
        
        PID:568
        
        C:\Windows\SysWOW64\contsdvl.exe
        
        C:\Windows\system32\contsdvl.exe 124 "C:\Windows\SysWOW64\xmlfrnxe.exe"
        340⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\sysgjbbp.exe
        
        C:\Windows\system32\sysgjbbp.exe 124 "C:\Windows\SysWOW64\contsdvl.exe"
        341⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\cmdxevjp.exe
        
        C:\Windows\system32\cmdxevjp.exe 124 "C:\Windows\SysWOW64\sysgjbbp.exe"
        342⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\igfhugxt.exe
        
        C:\Windows\system32\igfhugxt.exe 124 "C:\Windows\SysWOW64\cmdxevjp.exe"
        343⤵
        Drops file in System32 directory
        
        PID:1832
        
        C:\Windows\SysWOW64\schkrqsw.exe
        
        C:\Windows\system32\schkrqsw.exe 124 "C:\Windows\SysWOW64\igfhugxt.exe"
        344⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\dllxbgya.exe
        
        C:\Windows\system32\dllxbgya.exe 124 "C:\Windows\SysWOW64\schkrqsw.exe"
        345⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\convdiga.exe
        
        C:\Windows\system32\convdiga.exe 124 "C:\Windows\SysWOW64\dllxbgya.exe"
        346⤵
        Drops file in System32 directory
        
        PID:3052
        
        C:\Windows\SysWOW64\advytttd.exe
        
        C:\Windows\system32\advytttd.exe 124 "C:\Windows\SysWOW64\convdiga.exe"
        347⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\syswowcl.exe
        
        C:\Windows\system32\syswowcl.exe 124 "C:\Windows\SysWOW64\advytttd.exe"
        348⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\comzdgxo.exe
        
        C:\Windows\system32\comzdgxo.exe 124 "C:\Windows\SysWOW64\syswowcl.exe"
        349⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\igfygjgw.exe
        
        C:\Windows\system32\igfygjgw.exe 124 "C:\Windows\SysWOW64\comzdgxo.exe"
        350⤵
        
        PID:2756
        
        C:\Windows\SysWOW64\schavttr.exe
        
        C:\Windows\system32\schavttr.exe 124 "C:\Windows\SysWOW64\igfygjgw.exe"
        351⤵
        Drops file in System32 directory
        
        PID:2088
        
        C:\Windows\SysWOW64\caprqwca.exe
        
        C:\Windows\system32\caprqwca.exe 124 "C:\Windows\SysWOW64\schavttr.exe"
        352⤵
        
        PID:2748
        
        C:\Windows\SysWOW64\conmhlid.exe
        
        C:\Windows\system32\conmhlid.exe 124 "C:\Windows\SysWOW64\caprqwca.exe"
        353⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\regsajgl.exe
        
        C:\Windows\system32\regsajgl.exe 124 "C:\Windows\SysWOW64\conmhlid.exe"
        354⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\sysnsylh.exe
        
        C:\Windows\system32\sysnsylh.exe 124 "C:\Windows\SysWOW64\regsajgl.exe"
        355⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\dlldmbup.exe
        
        C:\Windows\system32\dlldmbup.exe 124 "C:\Windows\SysWOW64\sysnsylh.exe"
        356⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\umcgkmhs.exe
        
        C:\Windows\system32\umcgkmhs.exe 124 "C:\Windows\SysWOW64\dlldmbup.exe"
        357⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\advefoqa.exe
        
        C:\Windows\system32\advefoqa.exe 124 "C:\Windows\SysWOW64\umcgkmhs.exe"
        358⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\atlhuzld.exe
        
        C:\Windows\system32\atlhuzld.exe 124 "C:\Windows\SysWOW64\advefoqa.exe"
        359⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\comfpbud.exe
        
        C:\Windows\system32\comfpbud.exe 124 "C:\Windows\SysWOW64\atlhuzld.exe"
        360⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\igfwswcm.exe
        
        C:\Windows\system32\igfwswcm.exe 124 "C:\Windows\SysWOW64\comfpbud.exe"
        361⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\winumzlu.exe
        
        C:\Windows\system32\winumzlu.exe 124 "C:\Windows\SysWOW64\igfwswcm.exe"
        362⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\capxcjgp.exe
        
        C:\Windows\system32\capxcjgp.exe 124 "C:\Windows\SysWOW64\winumzlu.exe"
        363⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\rdlofmpx.exe
        
        C:\Windows\system32\rdlofmpx.exe 124 "C:\Windows\SysWOW64\capxcjgp.exe"
        364⤵
        
        PID:2100
        
        C:\Windows\SysWOW64\conyuwca.exe
        
        C:\Windows\system32\conyuwca.exe 124 "C:\Windows\SysWOW64\rdlofmpx.exe"
        365⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\secppzli.exe
        
        C:\Windows\system32\secppzli.exe 124 "C:\Windows\SysWOW64\conyuwca.exe"
        366⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\drvzejyl.exe
        
        C:\Windows\system32\drvzejyl.exe 124 "C:\Windows\SysWOW64\secppzli.exe"
        367⤵
        
        PID:2856
        
        C:\Windows\SysWOW64\dllqzmom.exe
        
        C:\Windows\system32\dllqzmom.exe 124 "C:\Windows\SysWOW64\drvzejyl.exe"
        368⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\windrcup.exe
        
        C:\Windows\system32\windrcup.exe 124 "C:\Windows\SysWOW64\dllqzmom.exe"
        369⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\advrrzkx.exe
        
        C:\Windows\system32\advrrzkx.exe 124 "C:\Windows\SysWOW64\windrcup.exe"
        370⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\regejpqt.exe
        
        C:\Windows\system32\regejpqt.exe 124 "C:\Windows\SysWOW64\advrrzkx.exe"
        371⤵
        Drops file in System32 directory
        
        PID:1360
        
        C:\Windows\SysWOW64\schcerzb.exe
        
        C:\Windows\system32\schcerzb.exe 124 "C:\Windows\SysWOW64\regejpqt.exe"
        372⤵
        
        PID:864
        
        C:\Windows\SysWOW64\drvftcue.exe
        
        C:\Windows\system32\drvftcue.exe 124 "C:\Windows\SysWOW64\schcerzb.exe"
        373⤵
        
        PID:844
        
        C:\Windows\SysWOW64\dlldofcm.exe
        
        C:\Windows\system32\dlldofcm.exe 124 "C:\Windows\SysWOW64\drvftcue.exe"
        374⤵
        
        PID:2616
        
        C:\Windows\SysWOW64\conurhlm.exe
        
        C:\Windows\system32\conurhlm.exe 124 "C:\Windows\SysWOW64\dlldofcm.exe"
        375⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\conirxbu.exe
        
        C:\Windows\system32\conirxbu.exe 124 "C:\Windows\SysWOW64\conurhlm.exe"
        376⤵
        
        PID:992
        
        C:\Windows\SysWOW64\sysvbmhy.exe
        
        C:\Windows\system32\sysvbmhy.exe 124 "C:\Windows\SysWOW64\conirxbu.exe"
        377⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\cmdleppg.exe
        
        C:\Windows\system32\cmdleppg.exe 124 "C:\Windows\SysWOW64\sysvbmhy.exe"
        378⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\dllawmnf.exe
        
        C:\Windows\system32\dllawmnf.exe 124 "C:\Windows\SysWOW64\cmdleppg.exe"
        379⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\conyzpwn.exe
        
        C:\Windows\system32\conyzpwn.exe 124 "C:\Windows\SysWOW64\dllawmnf.exe"
        380⤵
        Drops file in System32 directory
        
        PID:2144
        
        C:\Windows\SysWOW64\sysljfcr.exe
        
        C:\Windows\system32\sysljfcr.exe 124 "C:\Windows\SysWOW64\conyzpwn.exe"
        381⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\cmdclhkz.exe
        
        C:\Windows\system32\cmdclhkz.exe 124 "C:\Windows\SysWOW64\sysljfcr.exe"
        382⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\cmdqmfbz.exe
        
        C:\Windows\system32\cmdqmfbz.exe 124 "C:\Windows\SysWOW64\cmdclhkz.exe"
        383⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\xmlghirh.exe
        
        C:\Windows\system32\xmlghirh.exe 124 "C:\Windows\SysWOW64\cmdqmfbz.exe"
        384⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\nettqxxl.exe
        
        C:\Windows\system32\nettqxxl.exe 124 "C:\Windows\SysWOW64\xmlghirh.exe"
        385⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\nethrnns.exe
        
        C:\Windows\system32\nethrnns.exe 124 "C:\Windows\SysWOW64\nettqxxl.exe"
        386⤵
        
        PID:2240
        
        C:\Windows\SysWOW64\libujkto.exe
        
        C:\Windows\system32\libujkto.exe 124 "C:\Windows\SysWOW64\nethrnns.exe"
        387⤵
        
        PID:896
        
        C:\Windows\SysWOW64\drvtdnbw.exe
        
        C:\Windows\system32\drvtdnbw.exe 124 "C:\Windows\SysWOW64\libujkto.exe"
        388⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\clivtpxz.exe
        
        C:\Windows\system32\clivtpxz.exe 124 "C:\Windows\SysWOW64\drvtdnbw.exe"
        389⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\umcuwsfz.exe
        
        C:\Windows\system32\umcuwsfz.exe 124 "C:\Windows\SysWOW64\clivtpxz.exe"
        390⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\conwlcsd.exe
        
        C:\Windows\system32\conwlcsd.exe 124 "C:\Windows\SysWOW64\umcuwsfz.exe"
        391⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\secvgfbl.exe
        
        C:\Windows\system32\secvgfbl.exe 124 "C:\Windows\SysWOW64\conwlcsd.exe"
        392⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\sysxvqwo.exe
        
        C:\Windows\system32\sysxvqwo.exe 124 "C:\Windows\SysWOW64\secvgfbl.exe"
        393⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\cmdoysfw.exe
        
        C:\Windows\system32\cmdoysfw.exe 124 "C:\Windows\SysWOW64\sysxvqwo.exe"
        394⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\winjhils.exe
        
        C:\Windows\system32\winjhils.exe 124 "C:\Windows\SysWOW64\cmdoysfw.exe"
        395⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\winpifbz.exe
        
        C:\Windows\system32\winpifbz.exe 124 "C:\Windows\SysWOW64\winjhils.exe"
        396⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\rdlkavgd.exe
        
        C:\Windows\system32\rdlkavgd.exe 124 "C:\Windows\SysWOW64\winpifbz.exe"
        397⤵
        
        PID:804
        
        C:\Windows\SysWOW64\libbuypl.exe
        
        C:\Windows\system32\libbuypl.exe 124 "C:\Windows\SysWOW64\rdlkavgd.exe"
        398⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\secdkikg.exe
        
        C:\Windows\system32\secdkikg.exe 124 "C:\Windows\SysWOW64\libbuypl.exe"
        399⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\clicnltp.exe
        
        C:\Windows\system32\clicnltp.exe 124 "C:\Windows\SysWOW64\secdkikg.exe"
        400⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\cmdecvgs.exe
        
        C:\Windows\system32\cmdecvgs.exe 124 "C:\Windows\SysWOW64\clicnltp.exe"
        401⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\xmldxypa.exe
        
        C:\Windows\system32\xmldxypa.exe 124 "C:\Windows\SysWOW64\cmdecvgs.exe"
        402⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\winfmikd.exe
        
        C:\Windows\system32\winfmikd.exe 124 "C:\Windows\SysWOW64\xmldxypa.exe"
        403⤵
        Drops file in System32 directory
        
        PID:2576
        
        C:\Windows\SysWOW64\sysepltd.exe
        
        C:\Windows\system32\sysepltd.exe 124 "C:\Windows\SysWOW64\winfmikd.exe"
        404⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\librzbyh.exe
        
        C:\Windows\system32\librzbyh.exe 124 "C:\Windows\SysWOW64\sysepltd.exe"
        405⤵
        
        PID:2696
        
        C:\Windows\SysWOW64\igffzqoo.exe
        
        C:\Windows\system32\igffzqoo.exe 124 "C:\Windows\SysWOW64\librzbyh.exe"
        406⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\capsrous.exe
        
        C:\Windows\system32\capsrous.exe 124 "C:\Windows\SysWOW64\igffzqoo.exe"
        407⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\rdlimids.exe
        
        C:\Windows\system32\rdlimids.exe 124 "C:\Windows\SysWOW64\capsrous.exe"
        408⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\contbtyv.exe
        
        C:\Windows\system32\contbtyv.exe 124 "C:\Windows\SysWOW64\rdlimids.exe"
        409⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\secjewhe.exe
        
        C:\Windows\system32\secjewhe.exe 124 "C:\Windows\SysWOW64\contbtyv.exe"
        410⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\sysutguh.exe
        
        C:\Windows\system32\sysutguh.exe 124 "C:\Windows\SysWOW64\secjewhe.exe"
        411⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\cmdlojch.exe
        
        C:\Windows\system32\cmdlojch.exe 124 "C:\Windows\SysWOW64\sysutguh.exe"
        412⤵
        
        PID:544
        
        C:\Windows\SysWOW64\igfndtyk.exe
        
        C:\Windows\system32\igfndtyk.exe 124 "C:\Windows\SysWOW64\cmdlojch.exe"
        413⤵
        Drops file in System32 directory
        
        PID:1608
        
        C:\Windows\SysWOW64\winmywgs.exe
        
        C:\Windows\system32\winmywgs.exe 124 "C:\Windows\SysWOW64\igfndtyk.exe"
        414⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\rdlzqlmw.exe
        
        C:\Windows\system32\rdlzqlmw.exe 124 "C:\Windows\SysWOW64\winmywgs.exe"
        415⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\rdlnqjcv.exe
        
        C:\Windows\system32\rdlnqjcv.exe 124 "C:\Windows\SysWOW64\rdlzqlmw.exe"
        416⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\secaiyiz.exe
        
        C:\Windows\system32\secaiyiz.exe 124 "C:\Windows\SysWOW64\rdlnqjcv.exe"
        417⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\cliqdbrh.exe
        
        C:\Windows\system32\cliqdbrh.exe 124 "C:\Windows\SysWOW64\secaiyiz.exe"
        418⤵
        
        PID:828
        
        C:\Windows\SysWOW64\igfbsmml.exe
        
        C:\Windows\system32\igfbsmml.exe 124 "C:\Windows\SysWOW64\cliqdbrh.exe"
        419⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\advrnoul.exe
        
        C:\Windows\system32\advrnoul.exe 124 "C:\Windows\SysWOW64\igfbsmml.exe"
        420⤵
        
        PID:992
        
        C:\Windows\SysWOW64\atlckzio.exe
        
        C:\Windows\system32\atlckzio.exe 124 "C:\Windows\SysWOW64\advrnoul.exe"
        421⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\comsfbqw.exe
        
        C:\Windows\system32\comsfbqw.exe 124 "C:\Windows\SysWOW64\atlckzio.exe"
        422⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\igfraehe.exe
        
        C:\Windows\system32\igfraehe.exe 124 "C:\Windows\SysWOW64\comsfbqw.exe"
        423⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\winhdzpe.exe
        
        C:\Windows\system32\winhdzpe.exe 124 "C:\Windows\SysWOW64\igfraehe.exe"
        424⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\capksjdh.exe
        
        C:\Windows\system32\capksjdh.exe 124 "C:\Windows\SysWOW64\winhdzpe.exe"
        425⤵
        
        PID:1344
        
        C:\Windows\SysWOW64\rdljnmlq.exe
        
        C:\Windows\system32\rdljnmlq.exe 124 "C:\Windows\SysWOW64\capksjdh.exe"
        426⤵
        
        PID:588
        
        C:\Windows\SysWOW64\conlcwyt.exe
        
        C:\Windows\system32\conlcwyt.exe 124 "C:\Windows\SysWOW64\rdljnmlq.exe"
        427⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\seckfzpt.exe
        
        C:\Windows\system32\seckfzpt.exe 124 "C:\Windows\SysWOW64\conlcwyt.exe"
        428⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\sysmujcw.exe
        
        C:\Windows\system32\sysmujcw.exe 124 "C:\Windows\SysWOW64\seckfzpt.exe"
        429⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\cmdlpmle.exe
        
        C:\Windows\system32\cmdlpmle.exe 124 "C:\Windows\SysWOW64\sysmujcw.exe"
        430⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\winyhcri.exe
        
        C:\Windows\system32\winyhcri.exe 124 "C:\Windows\SysWOW64\cmdlpmle.exe"
        431⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\advmzzph.exe
        
        C:\Windows\system32\advmzzph.exe 124 "C:\Windows\SysWOW64\winyhcri.exe"
        432⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\rdlzrpvl.exe
        
        C:\Windows\system32\rdlzrpvl.exe 124 "C:\Windows\SysWOW64\advmzzph.exe"
        433⤵
        Drops file in System32 directory
        
        PID:1988
        
        C:\Windows\SysWOW64\igfpmrdt.exe
        
        C:\Windows\system32\igfpmrdt.exe 124 "C:\Windows\SysWOW64\rdlzrpvl.exe"
        434⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\schajcqx.exe
        
        C:\Windows\system32\schajcqx.exe 124 "C:\Windows\SysWOW64\igfpmrdt.exe"
        435⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\capqefzx.exe
        
        C:\Windows\system32\capqefzx.exe 124 "C:\Windows\SysWOW64\schajcqx.exe"
        436⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\rdlpzhif.exe
        
        C:\Windows\system32\rdlpzhif.exe 124 "C:\Windows\SysWOW64\capqefzx.exe"
        437⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\rdlvzxgm.exe
        
        C:\Windows\system32\rdlvzxgm.exe 124 "C:\Windows\SysWOW64\rdlpzhif.exe"
        438⤵
        
        PID:2748
        
        C:\Windows\SysWOW64\secirulq.exe
        
        C:\Windows\system32\secirulq.exe 124 "C:\Windows\SysWOW64\rdlvzxgm.exe"
        439⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\cligmpuq.exe
        
        C:\Windows\system32\cligmpuq.exe 124 "C:\Windows\SysWOW64\secirulq.exe"
        440⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\cmdjbzht.exe
        
        C:\Windows\system32\cmdjbzht.exe 124 "C:\Windows\SysWOW64\cligmpuq.exe"
        441⤵
        
        PID:2808
        
        C:\Windows\SysWOW64\xmliecqc.exe
        
        C:\Windows\system32\xmliecqc.exe 124 "C:\Windows\SysWOW64\cmdjbzht.exe"
        442⤵
        
        PID:2664
        
        C:\Windows\SysWOW64\winktmlf.exe
        
        C:\Windows\system32\winktmlf.exe 124 "C:\Windows\SysWOW64\xmliecqc.exe"
        443⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\sysjopuf.exe
        
        C:\Windows\system32\sysjopuf.exe 124 "C:\Windows\SysWOW64\winktmlf.exe"
        444⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\comldahi.exe
        
        C:\Windows\system32\comldahi.exe 124 "C:\Windows\SysWOW64\sysjopuf.exe"
        445⤵
        Drops file in System32 directory
        
        PID:2516
        
        C:\Windows\SysWOW64\igfkycpq.exe
        
        C:\Windows\system32\igfkycpq.exe 124 "C:\Windows\SysWOW64\comldahi.exe"
        446⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\winabfyy.exe
        
        C:\Windows\system32\winabfyy.exe 124 "C:\Windows\SysWOW64\igfkycpq.exe"
        447⤵
        
        PID:800
        
        C:\Windows\SysWOW64\netrwipz.exe
        
        C:\Windows\system32\netrwipz.exe 124 "C:\Windows\SysWOW64\winabfyy.exe"
        448⤵
        Drops file in System32 directory
        
        PID:2380
        
        C:\Windows\SysWOW64\rdlblscc.exe
        
        C:\Windows\system32\rdlblscc.exe 124 "C:\Windows\SysWOW64\netrwipz.exe"
        449⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\libsovlk.exe
        
        C:\Windows\system32\libsovlk.exe 124 "C:\Windows\SysWOW64\rdlblscc.exe"
        450⤵
        
        PID:264
        
        C:\Windows\SysWOW64\seccdfyn.exe
        
        C:\Windows\system32\seccdfyn.exe 124 "C:\Windows\SysWOW64\libsovlk.exe"
        451⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\clityagn.exe
        
        C:\Windows\system32\clityagn.exe 124 "C:\Windows\SysWOW64\seccdfyn.exe"
        452⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\xmlgqxur.exe
        
        C:\Windows\system32\xmlgqxur.exe 124 "C:\Windows\SysWOW64\clityagn.exe"
        453⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\xmluqnky.exe
        
        C:\Windows\system32\xmluqnky.exe 124 "C:\Windows\SysWOW64\xmlgqxur.exe"
        454⤵
        
        PID:524
        
        C:\Windows\SysWOW64\nethadqc.exe
        
        C:\Windows\system32\nethadqc.exe 124 "C:\Windows\SysWOW64\xmluqnky.exe"
        455⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\regfdfzc.exe
        
        C:\Windows\system32\regfdfzc.exe 124 "C:\Windows\SysWOW64\nethadqc.exe"
        456⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\libisqmf.exe
        
        C:\Windows\system32\libisqmf.exe 124 "C:\Windows\SysWOW64\regfdfzc.exe"
        457⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\winhnsco.exe
        
        C:\Windows\system32\winhnsco.exe 124 "C:\Windows\SysWOW64\libisqmf.exe"
        458⤵
        Drops file in System32 directory
        
        PID:864
        
        C:\Windows\SysWOW64\capjcdqr.exe
        
        C:\Windows\system32\capjcdqr.exe 124 "C:\Windows\SysWOW64\winhnsco.exe"
        459⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\conwusvv.exe
        
        C:\Windows\system32\conwusvv.exe 124 "C:\Windows\SysWOW64\capjcdqr.exe"
        460⤵
        
        PID:976
        
        C:\Windows\SysWOW64\advhjdjq.exe
        
        C:\Windows\system32\advhjdjq.exe 124 "C:\Windows\SysWOW64\conwusvv.exe"
        461⤵
        
        PID:296
        
        C:\Windows\SysWOW64\sysxegzy.exe
        
        C:\Windows\system32\sysxegzy.exe 124 "C:\Windows\SysWOW64\advhjdjq.exe"
        462⤵
        
        PID:376
        
        C:\Windows\SysWOW64\comitqmb.exe
        
        C:\Windows\system32\comitqmb.exe 124 "C:\Windows\SysWOW64\sysxegzy.exe"
        463⤵
        
        PID:2796
        
        C:\Windows\SysWOW64\igfywtvj.exe
        
        C:\Windows\system32\igfywtvj.exe 124 "C:\Windows\SysWOW64\comitqmb.exe"
        464⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\winprvej.exe
        
        C:\Windows\system32\winprvej.exe 124 "C:\Windows\SysWOW64\igfywtvj.exe"
        465⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\netnmymr.exe
        
        C:\Windows\system32\netnmymr.exe 124 "C:\Windows\SysWOW64\winprvej.exe"
        466⤵
        
        PID:668
        
        C:\Windows\SysWOW64\conqjiiv.exe
        
        C:\Windows\system32\conqjiiv.exe 124 "C:\Windows\SysWOW64\netnmymr.exe"
        467⤵
        
        PID:628
        
        C:\Windows\SysWOW64\secoelqd.exe
        
        C:\Windows\system32\secoelqd.exe 124 "C:\Windows\SysWOW64\conqjiiv.exe"
        468⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\sysrtvdy.exe
        
        C:\Windows\system32\sysrtvdy.exe 124 "C:\Windows\SysWOW64\secoelqd.exe"
        469⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\cmdqoymg.exe
        
        C:\Windows\system32\cmdqoymg.exe 124 "C:\Windows\SysWOW64\sysrtvdy.exe"
        470⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\umcsmbhj.exe
        
        C:\Windows\system32\umcsmbhj.exe 124 "C:\Windows\SysWOW64\cmdqoymg.exe"
        471⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\advrgdqr.exe
        
        C:\Windows\system32\advrgdqr.exe 124 "C:\Windows\SysWOW64\umcsmbhj.exe"
        472⤵
        
        PID:944
        
        C:\Windows\SysWOW64\rdleqbwn.exe
        
        C:\Windows\system32\rdleqbwn.exe 124 "C:\Windows\SysWOW64\advrgdqr.exe"
        473⤵
        
        PID:324
        
        C:\Windows\SysWOW64\comkrqmv.exe
        
        C:\Windows\system32\comkrqmv.exe 124 "C:\Windows\SysWOW64\rdleqbwn.exe"
        474⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\schfigry.exe
        
        C:\Windows\system32\schfigry.exe 124 "C:\Windows\SysWOW64\comkrqmv.exe"
        475⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\capvdjah.exe
        
        C:\Windows\system32\capvdjah.exe 124 "C:\Windows\SysWOW64\schfigry.exe"
        476⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\dllgstvk.exe
        
        C:\Windows\system32\dllgstvk.exe 124 "C:\Windows\SysWOW64\capvdjah.exe"
        477⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\conwvwek.exe
        
        C:\Windows\system32\conwvwek.exe 124 "C:\Windows\SysWOW64\dllgstvk.exe"
        478⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\advzlgrn.exe
        
        C:\Windows\system32\advzlgrn.exe 124 "C:\Windows\SysWOW64\conwvwek.exe"
        479⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\sysxfjav.exe
        
        C:\Windows\system32\sysxfjav.exe 124 "C:\Windows\SysWOW64\advzlgrn.exe"
        480⤵
        
        PID:872
        
        C:\Windows\SysWOW64\comavtvy.exe
        
        C:\Windows\system32\comavtvy.exe 124 "C:\Windows\SysWOW64\sysxfjav.exe"
        481⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\igfyywey.exe
        
        C:\Windows\system32\igfyywey.exe 124 "C:\Windows\SysWOW64\comavtvy.exe"
        482⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\caplhmjc.exe
        
        C:\Windows\system32\caplhmjc.exe 124 "C:\Windows\SysWOW64\igfyywey.exe"
        483⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\atlaijzk.exe
        
        C:\Windows\system32\atlaijzk.exe 124 "C:\Windows\SysWOW64\caplhmjc.exe"
        484⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\connzzfo.exe
        
        C:\Windows\system32\connzzfo.exe 124 "C:\Windows\SysWOW64\atlaijzk.exe"
        485⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\secduboo.exe
        
        C:\Windows\system32\secduboo.exe 124 "C:\Windows\SysWOW64\connzzfo.exe"
        486⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\schrvrmv.exe
        
        C:\Windows\system32\schrvrmv.exe 124 "C:\Windows\SysWOW64\secduboo.exe"
        487⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\capiquud.exe
        
        C:\Windows\system32\capiquud.exe 124 "C:\Windows\SysWOW64\schrvrmv.exe"
        488⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\condhrah.exe
        
        C:\Windows\system32\condhrah.exe 124 "C:\Windows\SysWOW64\capiquud.exe"
        489⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\conjihqh.exe
        
        C:\Windows\system32\conjihqh.exe 124 "C:\Windows\SysWOW64\condhrah.exe"
        490⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\syswrwwk.exe
        
        C:\Windows\system32\syswrwwk.exe 124 "C:\Windows\SysWOW64\conjihqh.exe"
        491⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\cmduuznt.exe
        
        C:\Windows\system32\cmduuznt.exe 124 "C:\Windows\SysWOW64\syswrwwk.exe"
        492⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\igfxjjaw.exe
        
        C:\Windows\system32\igfxjjaw.exe 124 "C:\Windows\SysWOW64\cmduuznt.exe"
        493⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\winvemiw.exe
        
        C:\Windows\system32\winvemiw.exe 124 "C:\Windows\SysWOW64\igfxjjaw.exe"
        494⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\capyuwwz.exe
        
        C:\Windows\system32\capyuwwz.exe 124 "C:\Windows\SysWOW64\winvemiw.exe"
        495⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\rdlwwzeh.exe
        
        C:\Windows\system32\rdlwwzeh.exe 124 "C:\Windows\SysWOW64\capyuwwz.exe"
        496⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\conzmkak.exe
        
        C:\Windows\system32\conzmkak.exe 124 "C:\Windows\SysWOW64\rdlwwzeh.exe"
        497⤵
        Drops file in System32 directory
        
        PID:1672
        
        C:\Windows\SysWOW64\schxhmik.exe
        
        C:\Windows\system32\schxhmik.exe 124 "C:\Windows\SysWOW64\conzmkak.exe"
        498⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\cmdkycoo.exe
        
        C:\Windows\system32\cmdkycoo.exe 124 "C:\Windows\SysWOW64\schxhmik.exe"
        499⤵
        
        PID:372
        
        C:\Windows\SysWOW64\dllzzzew.exe
        
        C:\Windows\system32\dllzzzew.exe 124 "C:\Windows\SysWOW64\cmdkycoo.exe"
        500⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\advmipka.exe
        
        C:\Windows\system32\advmipka.exe 124 "C:\Windows\SysWOW64\dllzzzew.exe"
        501⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\sysclsaa.exe
        
        C:\Windows\system32\sysclsaa.exe 124 "C:\Windows\SysWOW64\advmipka.exe"
        502⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\comnbcod.exe
        
        C:\Windows\system32\comnbcod.exe 124 "C:\Windows\SysWOW64\sysclsaa.exe"
        503⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\igfdvfwl.exe
        
        C:\Windows\system32\igfdvfwl.exe 124 "C:\Windows\SysWOW64\comnbcod.exe"
        504⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\scholhjo.exe
        
        C:\Windows\system32\scholhjo.exe 124 "C:\Windows\SysWOW64\igfdvfwl.exe"
        505⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\capeokao.exe
        
        C:\Windows\system32\capeokao.exe 124 "C:\Windows\SysWOW64\scholhjo.exe"
        506⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\dllhdunr.exe
        
        C:\Windows\system32\dllhdunr.exe 124 "C:\Windows\SysWOW64\capeokao.exe"
        507⤵
        Drops file in System32 directory
        
        PID:304
        
        C:\Windows\SysWOW64\confyxwa.exe
        
        C:\Windows\system32\confyxwa.exe 124 "C:\Windows\SysWOW64\dllhdunr.exe"
        508⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\sysspncd.exe
        
        C:\Windows\system32\sysspncd.exe 124 "C:\Windows\SysWOW64\confyxwa.exe"
        509⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\sysgqkal.exe
        
        C:\Windows\system32\sysgqkal.exe 124 "C:\Windows\SysWOW64\sysspncd.exe"
        510⤵
        
        PID:2056
        
        C:\Windows\SysWOW64\igftzafh.exe
        
        C:\Windows\system32\igftzafh.exe 124 "C:\Windows\SysWOW64\sysgqkal.exe"
        511⤵
        Drops file in System32 directory
        
        PID:868
        
        C:\Windows\SysWOW64\winkccop.exe
        
        C:\Windows\system32\winkccop.exe 124 "C:\Windows\SysWOW64\igftzafh.exe"
        512⤵
        
        PID:1384
        
        C:\Windows\SysWOW64\capusnbs.exe
        
        C:\Windows\system32\capusnbs.exe 124 "C:\Windows\SysWOW64\winkccop.exe"
        513⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\comlmqka.exe
        
        C:\Windows\system32\comlmqka.exe 124 "C:\Windows\SysWOW64\capusnbs.exe"
        514⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\libwcafv.exe
        
        C:\Windows\system32\libwcafv.exe 124 "C:\Windows\SysWOW64\comlmqka.exe"
        515⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\drvmxdod.exe
        
        C:\Windows\system32\drvmxdod.exe 124 "C:\Windows\SysWOW64\libwcafv.exe"
        516⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\clixunbg.exe
        
        C:\Windows\system32\clixunbg.exe 124 "C:\Windows\SysWOW64\drvmxdod.exe"
        517⤵
        Drops file in System32 directory
        
        PID:556
        
        C:\Windows\SysWOW64\umcnpqkp.exe
        
        C:\Windows\system32\umcnpqkp.exe 124 "C:\Windows\SysWOW64\clixunbg.exe"
        518⤵
        
        PID:2172
        
        C:\Windows\SysWOW64\atlagfpk.exe
        
        C:\Windows\system32\atlagfpk.exe 124 "C:\Windows\SysWOW64\umcnpqkp.exe"
        519⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\atlozdns.exe
        
        C:\Windows\system32\atlozdns.exe 124 "C:\Windows\SysWOW64\atlagfpk.exe"
        520⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\comfcxwa.exe
        
        C:\Windows\system32\comfcxwa.exe 124 "C:\Windows\SysWOW64\atlozdns.exe"
        521⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\igfdxafi.exe
        
        C:\Windows\system32\igfdxafi.exe 124 "C:\Windows\SysWOW64\comfcxwa.exe"
        522⤵
        
        PID:2192
        
        C:\Windows\SysWOW64\schgmlsd.exe
        
        C:\Windows\system32\schgmlsd.exe 124 "C:\Windows\SysWOW64\igfdxafi.exe"
        523⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\atlepnam.exe
        
        C:\Windows\system32\atlepnam.exe 124 "C:\Windows\SysWOW64\schgmlsd.exe"
        524⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\conrydgp.exe
        
        C:\Windows\system32\conrydgp.exe 124 "C:\Windows\SysWOW64\atlepnam.exe"
        525⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\regfzaex.exe
        
        C:\Windows\system32\regfzaex.exe 124 "C:\Windows\SysWOW64\conrydgp.exe"
        526⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\drvsrqkt.exe
        
        C:\Windows\system32\drvsrqkt.exe 124 "C:\Windows\SysWOW64\regfzaex.exe"
        527⤵
        
        PID:2448
        
        C:\Windows\SysWOW64\dlljlttb.exe
        
        C:\Windows\system32\dlljlttb.exe 124 "C:\Windows\SysWOW64\drvsrqkt.exe"
        528⤵
        Drops file in System32 directory
        
        PID:1232
        
        C:\Windows\SysWOW64\umcubdge.exe
        
        C:\Windows\system32\umcubdge.exe 124 "C:\Windows\SysWOW64\dlljlttb.exe"
        529⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\advkwgpm.exe
        
        C:\Windows\system32\advkwgpm.exe 124 "C:\Windows\SysWOW64\umcubdge.exe"
        530⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\atlvtqkp.exe
        
        C:\Windows\system32\atlvtqkp.exe 124 "C:\Windows\SysWOW64\advkwgpm.exe"
        531⤵
        Drops file in System32 directory
        
        PID:2016
        
        C:\Windows\SysWOW64\comlotsp.exe
        
        C:\Windows\system32\comlotsp.exe 124 "C:\Windows\SysWOW64\atlvtqkp.exe"
        532⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\schyfjyt.exe
        
        C:\Windows\system32\schyfjyt.exe 124 "C:\Windows\SysWOW64\comlotsp.exe"
        533⤵
        Drops file in System32 directory
        
        PID:2712
        
        C:\Windows\SysWOW64\schmygob.exe
        
        C:\Windows\system32\schmygob.exe 124 "C:\Windows\SysWOW64\schyfjyt.exe"
        534⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\dllzpwue.exe
        
        C:\Windows\system32\dllzpwue.exe 124 "C:\Windows\SysWOW64\schmygob.exe"
        535⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\conqkylf.exe
        
        C:\Windows\system32\conqkylf.exe 124 "C:\Windows\SysWOW64\dllzpwue.exe"
        536⤵
        
        PID:2880
        
        C:\Windows\SysWOW64\advaijyi.exe
        
        C:\Windows\system32\advaijyi.exe 124 "C:\Windows\SysWOW64\conqkylf.exe"
        537⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\sysrclgq.exe
        
        C:\Windows\system32\sysrclgq.exe 124 "C:\Windows\SysWOW64\advaijyi.exe"
        538⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\combswut.exe
        
        C:\Windows\system32\combswut.exe 124 "C:\Windows\SysWOW64\sysrclgq.exe"
        539⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\umcsnrct.exe
        
        C:\Windows\system32\umcsnrct.exe 124 "C:\Windows\SysWOW64\combswut.exe"
        540⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\xmlckbxw.exe
        
        C:\Windows\system32\xmlckbxw.exe 124 "C:\Windows\SysWOW64\umcsnrct.exe"
        541⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\atltfege.exe
        
        C:\Windows\system32\atltfege.exe 124 "C:\Windows\SysWOW64\xmlckbxw.exe"
        542⤵
        
        PID:808
        
        C:\Windows\SysWOW64\reggotmi.exe
        
        C:\Windows\system32\reggotmi.exe 124 "C:\Windows\SysWOW64\atltfege.exe"
        543⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\reguprci.exe
        
        C:\Windows\system32\reguprci.exe 124 "C:\Windows\SysWOW64\reggotmi.exe"
        544⤵
        Drops file in System32 directory
        
        PID:1964
        
        C:\Windows\SysWOW64\drvhhgqm.exe
        
        C:\Windows\system32\drvhhgqm.exe 124 "C:\Windows\SysWOW64\reguprci.exe"
        545⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\dllgbjyu.exe
        
        C:\Windows\system32\dllgbjyu.exe 124 "C:\Windows\SysWOW64\drvhhgqm.exe"
        546⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\umcirtmx.exe
        
        C:\Windows\system32\umcirtmx.exe 124 "C:\Windows\SysWOW64\dllgbjyu.exe"
        547⤵
        
        PID:920
        
        C:\Windows\SysWOW64\advhuwux.exe
        
        C:\Windows\system32\advhuwux.exe 124 "C:\Windows\SysWOW64\umcirtmx.exe"
        548⤵
        
        PID:1288
        
        C:\Windows\SysWOW64\atljjhha.exe
        
        C:\Windows\system32\atljjhha.exe 124 "C:\Windows\SysWOW64\advhuwux.exe"
        549⤵
        
        PID:644
        
        C:\Windows\SysWOW64\comaejyi.exe
        
        C:\Windows\system32\comaejyi.exe 124 "C:\Windows\SysWOW64\atljjhha.exe"
        550⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\regktull.exe
        
        C:\Windows\system32\regktull.exe 124 "C:\Windows\SysWOW64\comaejyi.exe"
        551⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\schbwwum.exe
        
        C:\Windows\system32\schbwwum.exe 124 "C:\Windows\SysWOW64\regktull.exe"
        552⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\dllwfmap.exe
        
        C:\Windows\system32\dllwfmap.exe 124 "C:\Windows\SysWOW64\schbwwum.exe"
        553⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\netcgjyx.exe
        
        C:\Windows\system32\netcgjyx.exe 124 "C:\Windows\SysWOW64\dllwfmap.exe"
        554⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\advpyzdb.exe
        
        C:\Windows\system32\advpyzdb.exe 124 "C:\Windows\SysWOW64\netcgjyx.exe"
        555⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\drvnscmb.exe
        
        C:\Windows\system32\drvnscmb.exe 124 "C:\Windows\SysWOW64\advpyzdb.exe"
        556⤵
        
        PID:1784
        
        C:\Windows\SysWOW64\cliqimze.exe
        
        C:\Windows\system32\cliqimze.exe 124 "C:\Windows\SysWOW64\drvnscmb.exe"
        557⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\umcolpim.exe
        
        C:\Windows\system32\umcolpim.exe 124 "C:\Windows\SysWOW64\cliqimze.exe"
        558⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\xmlrardp.exe
        
        C:\Windows\system32\xmlrardp.exe 124 "C:\Windows\SysWOW64\umcolpim.exe"
        559⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\atlqvumx.exe
        
        C:\Windows\system32\atlqvumx.exe 124 "C:\Windows\SysWOW64\xmlrardp.exe"
        560⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\netskezt.exe
        
        C:\Windows\system32\netskezt.exe 124 "C:\Windows\SysWOW64\atlqvumx.exe"
        561⤵
        
        PID:896
        
        C:\Windows\SysWOW64\librnhib.exe
        
        C:\Windows\system32\librnhib.exe 124 "C:\Windows\SysWOW64\netskezt.exe"
        562⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\drvhikqj.exe
        
        C:\Windows\system32\drvhikqj.exe 124 "C:\Windows\SysWOW64\librnhib.exe"
        563⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\dllydmzj.exe
        
        C:\Windows\system32\dllydmzj.exe 124 "C:\Windows\SysWOW64\drvhikqj.exe"
        564⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\conwfphr.exe
        
        C:\Windows\system32\conwfphr.exe 124 "C:\Windows\SysWOW64\dllydmzj.exe"
        565⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\advzvadu.exe
        
        C:\Windows\system32\advzvadu.exe 124 "C:\Windows\SysWOW64\conwfphr.exe"
        566⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\secjkkqx.exe
        
        C:\Windows\system32\secjkkqx.exe 124 "C:\Windows\SysWOW64\advzvadu.exe"
        567⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\cliafnyg.exe
        
        C:\Windows\system32\cliafnyg.exe 124 "C:\Windows\SysWOW64\secjkkqx.exe"
        568⤵
        
        PID:620
        
        C:\Windows\SysWOW64\schnxceb.exe
        
        C:\Windows\system32\schnxceb.exe 124 "C:\Windows\SysWOW64\cliafnyg.exe"
        569⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\xmlbxacj.exe
        
        C:\Windows\system32\xmlbxacj.exe 124 "C:\Windows\SysWOW64\schnxceb.exe"
        570⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\netohpin.exe
        
        C:\Windows\system32\netohpin.exe 124 "C:\Windows\SysWOW64\xmlbxacj.exe"
        571⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\regmksrv.exe
        
        C:\Windows\system32\regmksrv.exe 124 "C:\Windows\SysWOW64\netohpin.exe"
        572⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\libpzceq.exe
        
        C:\Windows\system32\libpzceq.exe 124 "C:\Windows\SysWOW64\regmksrv.exe"
        573⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\secaofzt.exe
        
        C:\Windows\system32\secaofzt.exe 124 "C:\Windows\SysWOW64\libpzceq.exe"
        574⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\cmdngdfx.exe
        
        C:\Windows\system32\cmdngdfx.exe 124 "C:\Windows\SysWOW64\secaofzt.exe"
        575⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\xmldbfnf.exe
        
        C:\Windows\system32\xmldbfnf.exe 124 "C:\Windows\SysWOW64\cmdngdfx.exe"
        576⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\winoqibi.exe
        
        C:\Windows\system32\winoqibi.exe 124 "C:\Windows\SysWOW64\xmldbfnf.exe"
        577⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\netelkji.exe
        
        C:\Windows\system32\netelkji.exe 124 "C:\Windows\SysWOW64\winoqibi.exe"
        578⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\rdlpavfm.exe
        
        C:\Windows\system32\rdlpavfm.exe 124 "C:\Windows\SysWOW64\netelkji.exe"
        579⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\libfdxnu.exe
        
        C:\Windows\system32\libfdxnu.exe 124 "C:\Windows\SysWOW64\rdlpavfm.exe"
        580⤵
        
        PID:2544
        
        C:\Windows\SysWOW64\secqsiax.exe
        
        C:\Windows\system32\secqsiax.exe 124 "C:\Windows\SysWOW64\libfdxnu.exe"
        581⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\cmddkygt.exe
        
        C:\Windows\system32\cmddkygt.exe 124 "C:\Windows\SysWOW64\secqsiax.exe"
        582⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\igffzibw.exe
        
        C:\Windows\system32\igffzibw.exe 124 "C:\Windows\SysWOW64\cmddkygt.exe"
        583⤵
        
        PID:780
        
        C:\Windows\SysWOW64\wineulke.exe
        
        C:\Windows\system32\wineulke.exe 124 "C:\Windows\SysWOW64\igffzibw.exe"
        584⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\atlhkvxh.exe
        
        C:\Windows\system32\atlhkvxh.exe 124 "C:\Windows\SysWOW64\wineulke.exe"
        585⤵
        
        PID:472
        
        C:\Windows\SysWOW64\comfmygp.exe
        
        C:\Windows\system32\comfmygp.exe 124 "C:\Windows\SysWOW64\atlhkvxh.exe"
        586⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\secswnml.exe
        
        C:\Windows\system32\secswnml.exe 124 "C:\Windows\SysWOW64\comfmygp.exe"
        587⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\schyxlks.exe
        
        C:\Windows\system32\schyxlks.exe 124 "C:\Windows\SysWOW64\secswnml.exe"
        588⤵
        Drops file in System32 directory
        
        PID:864
        
        C:\Windows\SysWOW64\dlltoapw.exe
        
        C:\Windows\system32\dlltoapw.exe 124 "C:\Windows\SysWOW64\schyxlks.exe"
        589⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\conkjdye.exe
        
        C:\Windows\system32\conkjdye.exe 124 "C:\Windows\SysWOW64\dlltoapw.exe"
        590⤵
        
        PID:2660
        
        C:\Windows\SysWOW64\advmyola.exe
        
        C:\Windows\system32\advmyola.exe 124 "C:\Windows\SysWOW64\conkjdye.exe"
        591⤵
        
        PID:976
        
        C:\Windows\SysWOW64\sysltqui.exe
        
        C:\Windows\system32\sysltqui.exe 124 "C:\Windows\SysWOW64\advmyola.exe"
        592⤵
        
        PID:296
        
        C:\Windows\SysWOW64\comnqbpl.exe
        
        C:\Windows\system32\comnqbpl.exe 124 "C:\Windows\SysWOW64\sysltqui.exe"
        593⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\igfmldyt.exe
        
        C:\Windows\system32\igfmldyt.exe 124 "C:\Windows\SysWOW64\comnqbpl.exe"
        594⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\schobolo.exe
        
        C:\Windows\system32\schobolo.exe 124 "C:\Windows\SysWOW64\igfmldyt.exe"
        595⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\capnviuw.exe
        
        C:\Windows\system32\capnviuw.exe 124 "C:\Windows\SysWOW64\schobolo.exe"
        596⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\conangza.exe
        
        C:\Windows\system32\conangza.exe 124 "C:\Windows\SysWOW64\capnviuw.exe"
        597⤵
        Drops file in System32 directory
        
        PID:668
        
        C:\Windows\SysWOW64\conoowxi.exe
        
        C:\Windows\system32\conoowxi.exe 124 "C:\Windows\SysWOW64\conangza.exe"
        598⤵
        
        PID:628
        
        C:\Windows\SysWOW64\sysbfldd.exe
        
        C:\Windows\system32\sysbfldd.exe 124 "C:\Windows\SysWOW64\conoowxi.exe"
        599⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\cmdraomm.exe
        
        C:\Windows\system32\cmdraomm.exe 124 "C:\Windows\SysWOW64\sysbfldd.exe"
        600⤵
        Drops file in System32 directory
        
        PID:1100
        
        C:\Windows\SysWOW64\umccpyzp.exe
        
        C:\Windows\system32\umccpyzp.exe 124 "C:\Windows\SysWOW64\cmdraomm.exe"
        601⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\advtkbix.exe
        
        C:\Windows\system32\advtkbix.exe 124 "C:\Windows\SysWOW64\umccpyzp.exe"
        602⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\atldalda.exe
        
        C:\Windows\system32\atldalda.exe 124 "C:\Windows\SysWOW64\advtkbix.exe"
        603⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\comucola.exe
        
        C:\Windows\system32\comucola.exe 124 "C:\Windows\SysWOW64\atldalda.exe"
        604⤵
        Drops file in System32 directory
        
        PID:1040
        
        C:\Windows\SysWOW64\igfkxrui.exe
        
        C:\Windows\system32\igfkxrui.exe 124 "C:\Windows\SysWOW64\comucola.exe"
        605⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\winjstdq.exe
        
        C:\Windows\system32\winjstdq.exe 124 "C:\Windows\SysWOW64\igfkxrui.exe"
        606⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\caplpeqm.exe
        
        C:\Windows\system32\caplpeqm.exe 124 "C:\Windows\SysWOW64\winjstdq.exe"
        607⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\rdlkkhgu.exe
        
        C:\Windows\system32\rdlkkhgu.exe 124 "C:\Windows\SysWOW64\caplpeqm.exe"
        608⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\conmarux.exe
        
        C:\Windows\system32\conmarux.exe 124 "C:\Windows\SysWOW64\rdlkkhgu.exe"
        609⤵
        Drops file in System32 directory
        
        PID:2012
        
        C:\Windows\SysWOW64\sysluucf.exe
        
        C:\Windows\system32\sysluucf.exe 124 "C:\Windows\SysWOW64\conmarux.exe"
        610⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\comnseqi.exe
        
        C:\Windows\system32\comnseqi.exe 124 "C:\Windows\SysWOW64\sysluucf.exe"
        611⤵
        
        PID:872
        
        C:\Windows\SysWOW64\umcmnzgi.exe
        
        C:\Windows\system32\umcmnzgi.exe 124 "C:\Windows\SysWOW64\comnseqi.exe"
        612⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\capzewmm.exe
        
        C:\Windows\system32\capzewmm.exe 124 "C:\Windows\SysWOW64\umcmnzgi.exe"
        613⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\atlfxmcu.exe
        
        C:\Windows\system32\atlfxmcu.exe 124 "C:\Windows\SysWOW64\capzewmm.exe"
        614⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\regaobix.exe
        
        C:\Windows\system32\regaobix.exe 124 "C:\Windows\SysWOW64\atlfxmcu.exe"
        615⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\schrjeqy.exe
        
        C:\Windows\system32\schrjeqy.exe 124 "C:\Windows\SysWOW64\regaobix.exe"
        616⤵
        Drops file in System32 directory
        
        PID:2152
        
        C:\Windows\SysWOW64\drvbypmb.exe
        
        C:\Windows\system32\drvbypmb.exe 124 "C:\Windows\SysWOW64\schrjeqy.exe"
        617⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\dllsbruj.exe
        
        C:\Windows\system32\dllsbruj.exe 124 "C:\Windows\SysWOW64\drvbypmb.exe"
        618⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\umcurchm.exe
        
        C:\Windows\system32\umcurchm.exe 124 "C:\Windows\SysWOW64\dllsbruj.exe"
        619⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\advtleqm.exe
        
        C:\Windows\system32\advtleqm.exe 124 "C:\Windows\SysWOW64\umcurchm.exe"
        620⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\atlvbplp.exe
        
        C:\Windows\system32\atlvbplp.exe 124 "C:\Windows\SysWOW64\advtleqm.exe"
        621⤵
        Drops file in System32 directory
        
        PID:2080
        
        C:\Windows\SysWOW64\comuerux.exe
        
        C:\Windows\system32\comuerux.exe 124 "C:\Windows\SysWOW64\atlvbplp.exe"
        622⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\schhnhab.exe
        
        C:\Windows\system32\schhnhab.exe 124 "C:\Windows\SysWOW64\comuerux.exe"
        623⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\schvofqb.exe
        
        C:\Windows\system32\schvofqb.exe 124 "C:\Windows\SysWOW64\schhnhab.exe"
        624⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\dllifuvf.exe
        
        C:\Windows\system32\dllifuvf.exe 124 "C:\Windows\SysWOW64\schvofqb.exe"
        625⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\conyaxen.exe
        
        C:\Windows\system32\conyaxen.exe 124 "C:\Windows\SysWOW64\dllifuvf.exe"
        626⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\advjqhzq.exe
        
        C:\Windows\system32\advjqhzq.exe 124 "C:\Windows\SysWOW64\conyaxen.exe"
        627⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\drvzskiq.exe
        
        C:\Windows\system32\drvzskiq.exe 124 "C:\Windows\SysWOW64\advjqhzq.exe"
        628⤵
        
        PID:1272
        
        C:\Windows\SysWOW64\clikiuvt.exe
        
        C:\Windows\system32\clikiuvt.exe 124 "C:\Windows\SysWOW64\drvzskiq.exe"
        629⤵
        
        PID:544
        
        C:\Windows\SysWOW64\umcbdxeb.exe
        
        C:\Windows\system32\umcbdxeb.exe 124 "C:\Windows\SysWOW64\clikiuvt.exe"
        630⤵
        
        PID:844
        
        C:\Windows\SysWOW64\xmllszze.exe
        
        C:\Windows\system32\xmllszze.exe 124 "C:\Windows\SysWOW64\umcbdxeb.exe"
        631⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\netyjxfi.exe
        
        C:\Windows\system32\netyjxfi.exe 124 "C:\Windows\SysWOW64\xmllszze.exe"
        632⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\rdlbzasd.exe
        
        C:\Windows\system32\rdlbzasd.exe 124 "C:\Windows\SysWOW64\netyjxfi.exe"
        633⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\libzucbl.exe
        
        C:\Windows\system32\libzucbl.exe 124 "C:\Windows\SysWOW64\rdlbzasd.exe"
        634⤵
        Drops file in System32 directory
        
        PID:2624
        
        C:\Windows\SysWOW64\seccrnwp.exe
        
        C:\Windows\system32\seccrnwp.exe 124 "C:\Windows\SysWOW64\libzucbl.exe"
        635⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\cliampex.exe
        
        C:\Windows\system32\cliampex.exe 124 "C:\Windows\SysWOW64\seccrnwp.exe"
        636⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\xmlndfkt.exe
        
        C:\Windows\system32\xmlndfkt.exe 124 "C:\Windows\SysWOW64\cliampex.exe"
        637⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\xmltwcaa.exe
        
        C:\Windows\system32\xmltwcaa.exe 124 "C:\Windows\SysWOW64\xmlndfkt.exe"
        638⤵
        
        PID:444
        
        C:\Windows\SysWOW64\netoosge.exe
        
        C:\Windows\system32\netoosge.exe 124 "C:\Windows\SysWOW64\xmltwcaa.exe"
        639⤵
        
        PID:980
        
        C:\Windows\SysWOW64\regfivpm.exe
        
        C:\Windows\system32\regfivpm.exe 124 "C:\Windows\SysWOW64\netoosge.exe"
        640⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\libhyfkp.exe
        
        C:\Windows\system32\libhyfkp.exe 124 "C:\Windows\SysWOW64\regfivpm.exe"
        641⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\drvgbisp.exe
        
        C:\Windows\system32\drvgbisp.exe 124 "C:\Windows\SysWOW64\libhyfkp.exe"
        642⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\clijqsgs.exe
        
        C:\Windows\system32\clijqsgs.exe 124 "C:\Windows\SysWOW64\drvgbisp.exe"
        643⤵
        
        PID:608
        
        C:\Windows\SysWOW64\rdlhlvob.exe
        
        C:\Windows\system32\rdlhlvob.exe 124 "C:\Windows\SysWOW64\clijqsgs.exe"
        644⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\conkafke.exe
        
        C:\Windows\system32\conkafke.exe 124 "C:\Windows\SysWOW64\rdlhlvob.exe"
        645⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\secidise.exe
        
        C:\Windows\system32\secidise.exe 124 "C:\Windows\SysWOW64\conkafke.exe"
        646⤵
        Drops file in System32 directory
        
        PID:2124
        
        C:\Windows\SysWOW64\cmdvnyyi.exe
        
        C:\Windows\system32\cmdvnyyi.exe 124 "C:\Windows\SysWOW64\secidise.exe"
        647⤵
        Drops file in System32 directory
        
        PID:1320
        
        C:\Windows\SysWOW64\cmdjnvop.exe
        
        C:\Windows\system32\cmdjnvop.exe 124 "C:\Windows\SysWOW64\cmdvnyyi.exe"
        648⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\winwflut.exe
        
        C:\Windows\system32\winwflut.exe 124 "C:\Windows\SysWOW64\cmdjnvop.exe"
        649⤵
        
        PID:896
        
        C:\Windows\SysWOW64\netnaoct.exe
        
        C:\Windows\system32\netnaoct.exe 124 "C:\Windows\SysWOW64\winwflut.exe"
        650⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\rdlxpyyw.exe
        
        C:\Windows\system32\rdlxpyyw.exe 124 "C:\Windows\SysWOW64\netnaoct.exe"
        651⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\libostge.exe
        
        C:\Windows\system32\libostge.exe 124 "C:\Windows\SysWOW64\rdlxpyyw.exe"
        652⤵
        
        PID:2756
        
        C:\Windows\SysWOW64\secyhdti.exe
        
        C:\Windows\system32\secyhdti.exe 124 "C:\Windows\SysWOW64\libostge.exe"
        653⤵
        Drops file in System32 directory
        
        PID:1968
        
        C:\Windows\SysWOW64\clipcgci.exe
        
        C:\Windows\system32\clipcgci.exe 124 "C:\Windows\SysWOW64\secyhdti.exe"
        654⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\cmdarqxl.exe
        
        C:\Windows\system32\cmdarqxl.exe 124 "C:\Windows\SysWOW64\clipcgci.exe"
        655⤵
        Drops file in System32 directory
        
        PID:2900
        
        C:\Windows\SysWOW64\xmlqutgt.exe
        
        C:\Windows\system32\xmlqutgt.exe 124 "C:\Windows\SysWOW64\cmdarqxl.exe"
        656⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\netdejmx.exe
        
        C:\Windows\system32\netdejmx.exe 124 "C:\Windows\SysWOW64\xmlqutgt.exe"
        657⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\comregcw.exe
        
        C:\Windows\system32\comregcw.exe 124 "C:\Windows\SysWOW64\netdejmx.exe"
        658⤵
        
        PID:2448
        
        C:\Windows\SysWOW64\secewwha.exe
        
        C:\Windows\system32\secewwha.exe 124 "C:\Windows\SysWOW64\comregcw.exe"
        659⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\capvryqi.exe
        
        C:\Windows\system32\capvryqi.exe 124 "C:\Windows\SysWOW64\secewwha.exe"
        660⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\capjrwoq.exe
        
        C:\Windows\system32\capjrwoq.exe 124 "C:\Windows\SysWOW64\capvryqi.exe"
        661⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\rdlhmyxq.exe
        
        C:\Windows\system32\rdlhmyxq.exe 124 "C:\Windows\SysWOW64\capjrwoq.exe"
        662⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\secueodu.exe
        
        C:\Windows\system32\secueodu.exe 124 "C:\Windows\SysWOW64\rdlhmyxq.exe"
        663⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\secaeltb.exe
        
        C:\Windows\system32\secaeltb.exe 124 "C:\Windows\SysWOW64\secueodu.exe"
        664⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\cmdvobyf.exe
        
        C:\Windows\system32\cmdvobyf.exe 124 "C:\Windows\SysWOW64\secaeltb.exe"
        665⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\xmlmrepf.exe
        
        C:\Windows\system32\xmlmrepf.exe 124 "C:\Windows\SysWOW64\cmdvobyf.exe"
        666⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\winwgoci.exe
        
        C:\Windows\system32\winwgoci.exe 124 "C:\Windows\SysWOW64\xmlmrepf.exe"
        667⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\netnbjlq.exe
        
        C:\Windows\system32\netnbjlq.exe 124 "C:\Windows\SysWOW64\winwgoci.exe"
        668⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\rdlpqtyu.exe
        
        C:\Windows\system32\rdlpqtyu.exe 124 "C:\Windows\SysWOW64\netnbjlq.exe"
        669⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\libotwpu.exe
        
        C:\Windows\system32\libotwpu.exe 124 "C:\Windows\SysWOW64\rdlpqtyu.exe"
        670⤵
        
        PID:1056
        
        C:\Windows\SysWOW64\schrigcx.exe
        
        C:\Windows\system32\schrigcx.exe 124 "C:\Windows\SysWOW64\libotwpu.exe"
        671⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\cappdjkf.exe
        
        C:\Windows\system32\cappdjkf.exe 124 "C:\Windows\SysWOW64\schrigcx.exe"
        672⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\concvzqj.exe
        
        C:\Windows\system32\concvzqj.exe 124 "C:\Windows\SysWOW64\cappdjkf.exe"
        673⤵
        
        PID:808
        
        C:\Windows\SysWOW64\conqvwoq.exe
        
        C:\Windows\system32\conqvwoq.exe 124 "C:\Windows\SysWOW64\concvzqj.exe"
        674⤵
        
        PID:664
        
        C:\Windows\SysWOW64\sysdfmum.exe
        
        C:\Windows\system32\sysdfmum.exe 124 "C:\Windows\SysWOW64\conqvwoq.exe"
        675⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\cmduipdu.exe
        
        C:\Windows\system32\cmduipdu.exe 124 "C:\Windows\SysWOW64\sysdfmum.exe"
        676⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\igfexzqx.exe
        
        C:\Windows\system32\igfexzqx.exe 124 "C:\Windows\SysWOW64\cmduipdu.exe"
        677⤵
        
        PID:828
        
        C:\Windows\SysWOW64\winvsczg.exe
        
        C:\Windows\system32\winvsczg.exe 124 "C:\Windows\SysWOW64\igfexzqx.exe"
        678⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\capfhmub.exe
        
        C:\Windows\system32\capfhmub.exe 124 "C:\Windows\SysWOW64\winvsczg.exe"
        679⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\rdlwkpcj.exe
        
        C:\Windows\system32\rdlwkpcj.exe 124 "C:\Windows\SysWOW64\capfhmub.exe"
        680⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\secjuein.exe
        
        C:\Windows\system32\secjuein.exe 124 "C:\Windows\SysWOW64\rdlwkpcj.exe"
        681⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\secxucyu.exe
        
        C:\Windows\system32\secxucyu.exe 124 "C:\Windows\SysWOW64\secjuein.exe"
        682⤵
        
        PID:580
        
        C:\Windows\SysWOW64\cmdkmseq.exe
        
        C:\Windows\system32\cmdkmseq.exe 124 "C:\Windows\SysWOW64\secxucyu.exe"
        683⤵
        
        PID:568
        
        C:\Windows\SysWOW64\xmlihuny.exe
        
        C:\Windows\system32\xmlihuny.exe 124 "C:\Windows\SysWOW64\cmdkmseq.exe"
        684⤵
        
        PID:668
        
        C:\Windows\SysWOW64\winlwfib.exe
        
        C:\Windows\system32\winlwfib.exe 124 "C:\Windows\SysWOW64\xmlihuny.exe"
        685⤵
        
        PID:588
        
        C:\Windows\SysWOW64\netbrhqj.exe
        
        C:\Windows\system32\netbrhqj.exe 124 "C:\Windows\SysWOW64\winlwfib.exe"
        686⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\cmdauczk.exe
        
        C:\Windows\system32\cmdauczk.exe 124 "C:\Windows\SysWOW64\netbrhqj.exe"
        687⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\cmdouzpr.exe
        
        C:\Windows\system32\cmdouzpr.exe 124 "C:\Windows\SysWOW64\cmdauczk.exe"
        688⤵
        
        PID:1312
        
        C:\Windows\SysWOW64\winbepvv.exe
        
        C:\Windows\system32\winbepvv.exe 124 "C:\Windows\SysWOW64\cmdouzpr.exe"
        689⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\netshsdd.exe
        
        C:\Windows\system32\netshsdd.exe 124 "C:\Windows\SysWOW64\winbepvv.exe"
        690⤵
        
        PID:604
        
        C:\Windows\SysWOW64\rdlcwczy.exe
        
        C:\Windows\system32\rdlcwczy.exe 124 "C:\Windows\SysWOW64\netshsdd.exe"
        691⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\libtrfhg.exe
        
        C:\Windows\system32\libtrfhg.exe 124 "C:\Windows\SysWOW64\rdlcwczy.exe"
        692⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\secdgpvj.exe
        
        C:\Windows\system32\secdgpvj.exe 124 "C:\Windows\SysWOW64\libtrfhg.exe"
        693⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\cliujsds.exe
        
        C:\Windows\system32\cliujsds.exe 124 "C:\Windows\SysWOW64\secdgpvj.exe"
        694⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\umckevms.exe
        
        C:\Windows\system32\umckevms.exe 124 "C:\Windows\SysWOW64\cliujsds.exe"
        695⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\advjzxca.exe
        
        C:\Windows\system32\advjzxca.exe 124 "C:\Windows\SysWOW64\umckevms.exe"
        696⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\secloiqd.exe
        
        C:\Windows\system32\secloiqd.exe 124 "C:\Windows\SysWOW64\advjzxca.exe"
        697⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\clikrkyl.exe
        
        C:\Windows\system32\clikrkyl.exe 124 "C:\Windows\SysWOW64\secloiqd.exe"
        698⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\cmdmgnlg.exe
        
        C:\Windows\system32\cmdmgnlg.exe 124 "C:\Windows\SysWOW64\clikrkyl.exe"
        699⤵
        
        PID:872
        
        C:\Windows\SysWOW64\xmllbpco.exe
        
        C:\Windows\system32\xmllbpco.exe 124 "C:\Windows\SysWOW64\cmdmgnlg.exe"
        700⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\winnqaps.exe
        
        C:\Windows\system32\winnqaps.exe 124 "C:\Windows\SysWOW64\xmllbpco.exe"
        701⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\rdlaiyvv.exe
        
        C:\Windows\system32\rdlaiyvv.exe 124 "C:\Windows\SysWOW64\winnqaps.exe"
        702⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\conlxaiy.exe
        
        C:\Windows\system32\conlxaiy.exe 124 "C:\Windows\SysWOW64\rdlaiyvv.exe"
        703⤵
        Drops file in System32 directory
        
        PID:2448
        
        C:\Windows\SysWOW64\seccsdrz.exe
        
        C:\Windows\system32\seccsdrz.exe 124 "C:\Windows\SysWOW64\conlxaiy.exe"
        704⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\commpnmc.exe
        
        C:\Windows\system32\commpnmc.exe 124 "C:\Windows\SysWOW64\seccsdrz.exe"
        705⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\schzzdsg.exe
        
        C:\Windows\system32\schzzdsg.exe 124 "C:\Windows\SysWOW64\commpnmc.exe"
        706⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\drvconfj.exe
        
        C:\Windows\system32\drvconfj.exe 124 "C:\Windows\SysWOW64\schzzdsg.exe"
        707⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\dllarqoj.exe
        
        C:\Windows\system32\dllarqoj.exe 124 "C:\Windows\SysWOW64\drvconfj.exe"
        708⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\umcdhajm.exe
        
        C:\Windows\system32\umcdhajm.exe 124 "C:\Windows\SysWOW64\dllarqoj.exe"
        709⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\advbbdsu.exe
        
        C:\Windows\system32\advbbdsu.exe 124 "C:\Windows\SysWOW64\umcdhajm.exe"
        710⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\comottxy.exe
        
        C:\Windows\system32\comottxy.exe 124 "C:\Windows\SysWOW64\advbbdsu.exe"
        711⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\comcuqnf.exe
        
        C:\Windows\system32\comcuqnf.exe 124 "C:\Windows\SysWOW64\comottxy.exe"
        712⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\schpdgtb.exe
        
        C:\Windows\system32\schpdgtb.exe 124 "C:\Windows\SysWOW64\comcuqnf.exe"
        713⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\drvssqoe.exe
        
        C:\Windows\system32\drvssqoe.exe 124 "C:\Windows\SysWOW64\schpdgtb.exe"
        714⤵
        
        PID:1172

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\capmhzqd.exe

Filesize
48KB

MD5
5bb68cbc88a927f2399e0b5404fe9368

SHA1
2e321e5a77658492932a3fd58cb8ea3a38edda89

SHA256
b6c7ae9985097367e00bbf60d1436a7d52afafd26a931ef9523643fc533ce24f

SHA512
ca76e4c550e4a9ef6ce88d742d84f72c333b8ee361caece7f73de6754fadd2bba37bbd2d0ea609f6356b2a1ee86bab1647b5226ba48523f81c39fa76bfe4c712

Download Submit
memory/372-124-0x00000000003C0000-0x00000000003F1000-memory.dmp

Filesize
196KB

Download
memory/372-130-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/372-123-0x00000000003C0000-0x00000000003F1000-memory.dmp

Filesize
196KB

Download
memory/444-233-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/444-229-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/524-442-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/668-251-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/668-239-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/668-245-0x00000000002A0000-0x00000000002D1000-memory.dmp

Filesize
196KB

Download
memory/668-249-0x00000000002A0000-0x00000000002D1000-memory.dmp

Filesize
196KB

Download
memory/780-461-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1016-288-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1016-287-0x0000000000320000-0x0000000000351000-memory.dmp

Filesize
196KB

Download
memory/1016-286-0x0000000000320000-0x0000000000351000-memory.dmp

Filesize
196KB

Download
memory/1032-184-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1032-179-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/1032-166-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1072-171-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1072-165-0x00000000002F0000-0x0000000000321000-memory.dmp

Filesize
196KB

Download
memory/1224-138-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/1224-144-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1224-125-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1232-644-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1512-12-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/1512-1-0x0000000000220000-0x0000000000224000-memory.dmp

Filesize
16KB

Download
memory/1512-0-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1512-18-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1616-281-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1616-277-0x0000000000250000-0x0000000000281000-memory.dmp

Filesize
196KB

Download
memory/1684-328-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1684-338-0x0000000000270000-0x00000000002A1000-memory.dmp

Filesize
196KB

Download
memory/1684-342-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1684-337-0x0000000000270000-0x00000000002A1000-memory.dmp

Filesize
196KB

Download
memory/1708-295-0x0000000000270000-0x00000000002A1000-memory.dmp

Filesize
196KB

Download
memory/1708-299-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1832-260-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1832-258-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/1832-250-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1912-268-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/1912-270-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1912-259-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1912-267-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/1916-498-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1984-152-0x0000000000290000-0x00000000002C1000-memory.dmp

Filesize
196KB

Download
memory/1984-139-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/1984-157-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2056-238-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2056-243-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2152-68-0x00000000002B0000-0x00000000002E1000-memory.dmp

Filesize
196KB

Download
memory/2152-55-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2152-74-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2164-308-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2164-304-0x00000000002B0000-0x00000000002E1000-memory.dmp

Filesize
196KB

Download
memory/2168-535-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2176-224-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2176-219-0x00000000003C0000-0x00000000003F1000-memory.dmp

Filesize
196KB

Download
memory/2212-332-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2224-316-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2224-314-0x00000000001B0000-0x00000000001E1000-memory.dmp

Filesize
196KB

Download
memory/2224-305-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2276-365-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2276-369-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2332-27-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2332-47-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2332-39-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2332-40-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2352-351-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2432-319-0x0000000077120000-0x000000007723F000-memory.dmp

Filesize
1.1MB

Download
memory/2432-320-0x0000000077240000-0x000000007733A000-memory.dmp

Filesize
1000KB

Download
memory/2432-323-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2432-317-0x0000000000350000-0x0000000000381000-memory.dmp

Filesize
196KB

Download
memory/2448-60-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2448-42-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2468-26-0x00000000002A0000-0x00000000002D1000-memory.dmp

Filesize
196KB

Download
memory/2468-13-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2468-32-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2604-110-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2604-115-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2632-402-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2632-411-0x00000000002D0000-0x0000000000301000-memory.dmp

Filesize
196KB

Download
memory/2632-414-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2640-360-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2640-347-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2640-356-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2676-97-0x00000000005D0000-0x0000000000601000-memory.dmp

Filesize
196KB

Download
memory/2676-423-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2676-83-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2676-421-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2676-102-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2676-96-0x00000000005D0000-0x0000000000601000-memory.dmp

Filesize
196KB

Download
memory/2676-412-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2696-392-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2696-394-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2712-88-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2712-82-0x00000000001B0000-0x00000000001E1000-memory.dmp

Filesize
196KB

Download
memory/2712-69-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2744-211-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2744-205-0x00000000003C0000-0x00000000003F1000-memory.dmp

Filesize
196KB

Download
memory/2744-206-0x00000000003C0000-0x00000000003F1000-memory.dmp

Filesize
196KB

Download
memory/2828-376-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2828-374-0x0000000000340000-0x0000000000371000-memory.dmp

Filesize
196KB

Download
memory/2828-375-0x0000000000340000-0x0000000000371000-memory.dmp

Filesize
196KB

Download
memory/2860-192-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2860-197-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2864-406-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2864-401-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download
memory/2876-387-0x0000000000400000-0x0000000000431000-memory.dmp

Filesize
196KB

Download
memory/2876-383-0x0000000000220000-0x0000000000251000-memory.dmp

Filesize
196KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads