xmrig | 7eb9363ccf0548810fcc9d4ac7738b962d546760556a453103358c46544c7d7e

Analysis

max time kernel
110s
max time network
99s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
21/07/2024, 21:11

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
Size

1.7MB
MD5

0fde2f4132ad0d68b7b2eeead9c7f2d0
SHA1

ff7a2650b52d466738ca5472ac6d619443cd3a6b
SHA256

7eb9363ccf0548810fcc9d4ac7738b962d546760556a453103358c46544c7d7e
SHA512

6639c3f97240d41486dd8098a41b4f43c8e2e8b8bcbf85b5a6c2db1198b9d80735119d31397d101180a072b76da07c3f7afd0ef33cf7f6df53b0e59f3e538ff2
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlia+zzDwdjWPwQcyHm3F9jjpENkk+wS3ZseNFKpZMb:knw9oUUEEDlndy/chgkVTpsuiSM1TuF

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/3504-382-0x00007FF637BE0000-0x00007FF637FD1000-memory.dmp	xmrig
behavioral2/memory/3380-23-0x00007FF608460000-0x00007FF608851000-memory.dmp	xmrig
behavioral2/memory/2832-391-0x00007FF74F350000-0x00007FF74F741000-memory.dmp	xmrig
behavioral2/memory/2732-395-0x00007FF6C9EE0000-0x00007FF6CA2D1000-memory.dmp	xmrig
behavioral2/memory/2528-408-0x00007FF7B5C30000-0x00007FF7B6021000-memory.dmp	xmrig
behavioral2/memory/2764-419-0x00007FF6CE290000-0x00007FF6CE681000-memory.dmp	xmrig
behavioral2/memory/2804-453-0x00007FF688BE0000-0x00007FF688FD1000-memory.dmp	xmrig
behavioral2/memory/1088-459-0x00007FF7B6C60000-0x00007FF7B7051000-memory.dmp	xmrig
behavioral2/memory/3148-471-0x00007FF784A20000-0x00007FF784E11000-memory.dmp	xmrig
behavioral2/memory/1860-479-0x00007FF796E00000-0x00007FF7971F1000-memory.dmp	xmrig
behavioral2/memory/2888-489-0x00007FF7B5750000-0x00007FF7B5B41000-memory.dmp	xmrig
behavioral2/memory/4896-484-0x00007FF671010000-0x00007FF671401000-memory.dmp	xmrig
behavioral2/memory/448-476-0x00007FF729B00000-0x00007FF729EF1000-memory.dmp	xmrig
behavioral2/memory/3256-469-0x00007FF781880000-0x00007FF781C71000-memory.dmp	xmrig
behavioral2/memory/4736-443-0x00007FF7F5E60000-0x00007FF7F6251000-memory.dmp	xmrig
behavioral2/memory/628-439-0x00007FF7DF280000-0x00007FF7DF671000-memory.dmp	xmrig
behavioral2/memory/4060-436-0x00007FF63BA30000-0x00007FF63BE21000-memory.dmp	xmrig
behavioral2/memory/5024-432-0x00007FF7B46B0000-0x00007FF7B4AA1000-memory.dmp	xmrig
behavioral2/memory/4688-427-0x00007FF78F2E0000-0x00007FF78F6D1000-memory.dmp	xmrig
behavioral2/memory/4608-422-0x00007FF69DDD0000-0x00007FF69E1C1000-memory.dmp	xmrig
behavioral2/memory/2436-394-0x00007FF6E7550000-0x00007FF6E7941000-memory.dmp	xmrig
behavioral2/memory/3260-393-0x00007FF7E13B0000-0x00007FF7E17A1000-memory.dmp	xmrig
behavioral2/memory/3112-392-0x00007FF648900000-0x00007FF648CF1000-memory.dmp	xmrig
behavioral2/memory/1896-1986-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp	xmrig
behavioral2/memory/1896-2009-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp	xmrig
behavioral2/memory/3380-2011-0x00007FF608460000-0x00007FF608851000-memory.dmp	xmrig
behavioral2/memory/3112-2019-0x00007FF648900000-0x00007FF648CF1000-memory.dmp	xmrig
behavioral2/memory/2832-2015-0x00007FF74F350000-0x00007FF74F741000-memory.dmp	xmrig
behavioral2/memory/3504-2017-0x00007FF637BE0000-0x00007FF637FD1000-memory.dmp	xmrig
behavioral2/memory/2888-2013-0x00007FF7B5750000-0x00007FF7B5B41000-memory.dmp	xmrig
behavioral2/memory/3260-2021-0x00007FF7E13B0000-0x00007FF7E17A1000-memory.dmp	xmrig
behavioral2/memory/5024-2039-0x00007FF7B46B0000-0x00007FF7B4AA1000-memory.dmp	xmrig
behavioral2/memory/4608-2035-0x00007FF69DDD0000-0x00007FF69E1C1000-memory.dmp	xmrig
behavioral2/memory/4688-2033-0x00007FF78F2E0000-0x00007FF78F6D1000-memory.dmp	xmrig
behavioral2/memory/2764-2032-0x00007FF6CE290000-0x00007FF6CE681000-memory.dmp	xmrig
behavioral2/memory/2732-2025-0x00007FF6C9EE0000-0x00007FF6CA2D1000-memory.dmp	xmrig
behavioral2/memory/2436-2023-0x00007FF6E7550000-0x00007FF6E7941000-memory.dmp	xmrig
behavioral2/memory/628-2027-0x00007FF7DF280000-0x00007FF7DF671000-memory.dmp	xmrig
behavioral2/memory/4060-2037-0x00007FF63BA30000-0x00007FF63BE21000-memory.dmp	xmrig
behavioral2/memory/4736-2041-0x00007FF7F5E60000-0x00007FF7F6251000-memory.dmp	xmrig
behavioral2/memory/3256-2047-0x00007FF781880000-0x00007FF781C71000-memory.dmp	xmrig
behavioral2/memory/1088-2045-0x00007FF7B6C60000-0x00007FF7B7051000-memory.dmp	xmrig
behavioral2/memory/2804-2043-0x00007FF688BE0000-0x00007FF688FD1000-memory.dmp	xmrig
behavioral2/memory/2528-2029-0x00007FF7B5C30000-0x00007FF7B6021000-memory.dmp	xmrig
behavioral2/memory/4896-2056-0x00007FF671010000-0x00007FF671401000-memory.dmp	xmrig
behavioral2/memory/1860-2054-0x00007FF796E00000-0x00007FF7971F1000-memory.dmp	xmrig
behavioral2/memory/448-2052-0x00007FF729B00000-0x00007FF729EF1000-memory.dmp	xmrig
behavioral2/memory/3148-2049-0x00007FF784A20000-0x00007FF784E11000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
1896	uqCqcyk.exe
3380	EBvpwzs.exe
2888	hbxOFuD.exe
3504	aVVcqNE.exe
2832	ZiVSwqY.exe
3112	ssVcCBx.exe
3260	btUwNYa.exe
2436	NPNGBse.exe
2732	iHnGGAF.exe
2528	FRyxdIu.exe
2764	ZcHkryA.exe
4608	cksYZow.exe
4688	wbvLdbS.exe
5024	gydwsee.exe
4060	THgrhSC.exe
628	XMWZfMa.exe
4736	WecVGYJ.exe
2804	arEgXxk.exe
1088	kZfComL.exe
3256	PrmWtNq.exe
3148	ZyQVMHl.exe
448	cDypNGD.exe
1860	pILRYUp.exe
4896	pzWprvY.exe
4432	ukXKejd.exe
2448	hDzmunk.exe
2256	FOwLFxQ.exe
5068	ZNUTpxJ.exe
2968	hudjQOw.exe
4376	wXAdDYW.exe
3408	WMpiEIn.exe
1464	tYdrnpA.exe
3416	UKyLJXi.exe
5088	feillch.exe
224	PylGPRL.exe
2960	lYhPOCo.exe
4436	jhCNUvJ.exe
4260	hKvNWAc.exe
1276	aEhEFSW.exe
1612	CXlxKWA.exe
2320	oiwPzcD.exe
3536	LIRZiVH.exe
5056	VDaIGuf.exe
3648	qMUWJKn.exe
3044	tXNyMuy.exe
2192	TZXCklB.exe
3140	zPxlIkx.exe
2512	HeBxdMh.exe
4548	WcVjzWB.exe
3860	isVGARJ.exe
4820	oBacQcg.exe
4364	NyQfrdy.exe
1056	LseyPsS.exe
3500	ygpjKJw.exe
3616	bnGEthQ.exe
696	QcUeZjG.exe
4492	QRQJfIE.exe
1796	QnCgCXY.exe
3016	YiPgLsF.exe
4324	gkEbhMN.exe
4592	PLtksHn.exe
1412	tjTvxqs.exe
2152	AiOMXjw.exe
4836	dArGeCp.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1704-0-0x00007FF7B9630000-0x00007FF7B9A21000-memory.dmp	upx
behavioral2/files/0x0009000000023447-6.dat	upx
behavioral2/files/0x00080000000234a1-9.dat	upx
behavioral2/memory/1896-8-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp	upx
behavioral2/files/0x00070000000234a5-15.dat	upx
behavioral2/files/0x00070000000234a6-19.dat	upx
behavioral2/files/0x00070000000234a7-28.dat	upx
behavioral2/files/0x00070000000234a8-36.dat	upx
behavioral2/files/0x00070000000234ab-45.dat	upx
behavioral2/files/0x00070000000234ac-56.dat	upx
behavioral2/files/0x00070000000234b1-75.dat	upx
behavioral2/files/0x00070000000234b3-88.dat	upx
behavioral2/files/0x00070000000234b4-96.dat	upx
behavioral2/files/0x00070000000234b8-110.dat	upx
behavioral2/files/0x00070000000234bc-129.dat	upx
behavioral2/files/0x00070000000234bd-141.dat	upx
behavioral2/files/0x00070000000234c2-163.dat	upx
behavioral2/files/0x00070000000234c1-158.dat	upx
behavioral2/files/0x00070000000234c0-156.dat	upx
behavioral2/files/0x00070000000234bf-151.dat	upx
behavioral2/files/0x00070000000234be-146.dat	upx
behavioral2/files/0x00070000000234bb-131.dat	upx
behavioral2/files/0x00070000000234ba-126.dat	upx
behavioral2/files/0x00070000000234b9-121.dat	upx
behavioral2/files/0x00070000000234b7-108.dat	upx
behavioral2/files/0x00070000000234b6-106.dat	upx
behavioral2/files/0x00070000000234b5-101.dat	upx
behavioral2/files/0x00070000000234b2-83.dat	upx
behavioral2/memory/3504-382-0x00007FF637BE0000-0x00007FF637FD1000-memory.dmp	upx
behavioral2/files/0x00070000000234b0-73.dat	upx
behavioral2/files/0x00070000000234af-71.dat	upx
behavioral2/files/0x00070000000234ae-66.dat	upx
behavioral2/files/0x00070000000234ad-58.dat	upx
behavioral2/files/0x00070000000234aa-43.dat	upx
behavioral2/files/0x00070000000234a9-38.dat	upx
behavioral2/memory/3380-23-0x00007FF608460000-0x00007FF608851000-memory.dmp	upx
behavioral2/memory/2832-391-0x00007FF74F350000-0x00007FF74F741000-memory.dmp	upx
behavioral2/memory/2732-395-0x00007FF6C9EE0000-0x00007FF6CA2D1000-memory.dmp	upx
behavioral2/memory/2528-408-0x00007FF7B5C30000-0x00007FF7B6021000-memory.dmp	upx
behavioral2/memory/2764-419-0x00007FF6CE290000-0x00007FF6CE681000-memory.dmp	upx
behavioral2/memory/2804-453-0x00007FF688BE0000-0x00007FF688FD1000-memory.dmp	upx
behavioral2/memory/1088-459-0x00007FF7B6C60000-0x00007FF7B7051000-memory.dmp	upx
behavioral2/memory/3148-471-0x00007FF784A20000-0x00007FF784E11000-memory.dmp	upx
behavioral2/memory/1860-479-0x00007FF796E00000-0x00007FF7971F1000-memory.dmp	upx
behavioral2/memory/2888-489-0x00007FF7B5750000-0x00007FF7B5B41000-memory.dmp	upx
behavioral2/memory/4896-484-0x00007FF671010000-0x00007FF671401000-memory.dmp	upx
behavioral2/memory/448-476-0x00007FF729B00000-0x00007FF729EF1000-memory.dmp	upx
behavioral2/memory/3256-469-0x00007FF781880000-0x00007FF781C71000-memory.dmp	upx
behavioral2/memory/4736-443-0x00007FF7F5E60000-0x00007FF7F6251000-memory.dmp	upx
behavioral2/memory/628-439-0x00007FF7DF280000-0x00007FF7DF671000-memory.dmp	upx
behavioral2/memory/4060-436-0x00007FF63BA30000-0x00007FF63BE21000-memory.dmp	upx
behavioral2/memory/5024-432-0x00007FF7B46B0000-0x00007FF7B4AA1000-memory.dmp	upx
behavioral2/memory/4688-427-0x00007FF78F2E0000-0x00007FF78F6D1000-memory.dmp	upx
behavioral2/memory/4608-422-0x00007FF69DDD0000-0x00007FF69E1C1000-memory.dmp	upx
behavioral2/memory/2436-394-0x00007FF6E7550000-0x00007FF6E7941000-memory.dmp	upx
behavioral2/memory/3260-393-0x00007FF7E13B0000-0x00007FF7E17A1000-memory.dmp	upx
behavioral2/memory/3112-392-0x00007FF648900000-0x00007FF648CF1000-memory.dmp	upx
behavioral2/memory/1896-1986-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp	upx
behavioral2/memory/1896-2009-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp	upx
behavioral2/memory/3380-2011-0x00007FF608460000-0x00007FF608851000-memory.dmp	upx
behavioral2/memory/3112-2019-0x00007FF648900000-0x00007FF648CF1000-memory.dmp	upx
behavioral2/memory/2832-2015-0x00007FF74F350000-0x00007FF74F741000-memory.dmp	upx
behavioral2/memory/3504-2017-0x00007FF637BE0000-0x00007FF637FD1000-memory.dmp	upx
behavioral2/memory/2888-2013-0x00007FF7B5750000-0x00007FF7B5B41000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\NKuQsMl.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\rthJrDV.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\IPZLZDS.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\rELtgyS.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ZBKoAhq.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\VxwBdTx.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ZacBdXq.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\WNQJKVA.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\clAWTXs.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\KVtDPKG.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\aNkVYaT.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\OYpRzVF.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\nLSlQwU.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\VaPNEpX.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\BhwnJuT.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\QUDvDbt.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\CfnSEDR.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\KtrYzal.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\rhVXlQi.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\zNKAKvT.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\wYOnvEP.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ZmIOpeO.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\GGjKuij.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\yjkayys.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\GXDzjRR.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\fRfTDmB.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\aHiiUyt.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\UFPSurm.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\aEhEFSW.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\tQzAuQM.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\tLuZYoY.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\lisAXBy.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\eiwpfYs.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ElXUAhl.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\fRLoozX.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\zNHjWeM.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ygpjKJw.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\VgcSLgE.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\nMMxkNO.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ccSteNW.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\QuzVibb.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\zcbMfoy.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\DkwtRMY.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\bMAmgVY.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ROofWrv.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\kZfComL.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\oWiYSTF.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\LUuAlpr.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ExzEifR.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\FcpxnES.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\gWaYLqA.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\bUAuGTP.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\hwSxdFG.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\vardKfW.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\TvvobdG.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\JvKfkUM.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\aUvDWXZ.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\SCzLqrS.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\wmjQkOJ.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\FWBSIGh.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ieZXYvt.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\ezOthWo.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\PrmWtNq.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
File created	C:\Windows\System32\kgaLAWL.exe	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13152	dwm.exe
Token: SeChangeNotifyPrivilege	13152	dwm.exe
Token: 33	13152	dwm.exe
Token: SeIncBasePriorityPrivilege	13152	dwm.exe
Token: SeShutdownPrivilege	13152	dwm.exe
Token: SeCreatePagefilePrivilege	13152	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1704 wrote to memory of 1896	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	85
PID 1704 wrote to memory of 1896	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	85
PID 1704 wrote to memory of 3380	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	86
PID 1704 wrote to memory of 3380	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	86
PID 1704 wrote to memory of 2888	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	87
PID 1704 wrote to memory of 2888	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	87
PID 1704 wrote to memory of 3504	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	88
PID 1704 wrote to memory of 3504	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	88
PID 1704 wrote to memory of 2832	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	89
PID 1704 wrote to memory of 2832	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	89
PID 1704 wrote to memory of 3112	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	90
PID 1704 wrote to memory of 3112	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	90
PID 1704 wrote to memory of 3260	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	91
PID 1704 wrote to memory of 3260	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	91
PID 1704 wrote to memory of 2436	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	92
PID 1704 wrote to memory of 2436	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	92
PID 1704 wrote to memory of 2732	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	93
PID 1704 wrote to memory of 2732	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	93
PID 1704 wrote to memory of 2528	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	94
PID 1704 wrote to memory of 2528	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	94
PID 1704 wrote to memory of 2764	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	95
PID 1704 wrote to memory of 2764	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	95
PID 1704 wrote to memory of 4608	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	96
PID 1704 wrote to memory of 4608	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	96
PID 1704 wrote to memory of 4688	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	97
PID 1704 wrote to memory of 4688	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	97
PID 1704 wrote to memory of 5024	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	98
PID 1704 wrote to memory of 5024	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	98
PID 1704 wrote to memory of 4060	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	99
PID 1704 wrote to memory of 4060	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	99
PID 1704 wrote to memory of 628	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	100
PID 1704 wrote to memory of 628	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	100
PID 1704 wrote to memory of 4736	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	101
PID 1704 wrote to memory of 4736	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	101
PID 1704 wrote to memory of 2804	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	102
PID 1704 wrote to memory of 2804	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	102
PID 1704 wrote to memory of 1088	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	103
PID 1704 wrote to memory of 1088	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	103
PID 1704 wrote to memory of 3256	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	104
PID 1704 wrote to memory of 3256	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	104
PID 1704 wrote to memory of 3148	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	105
PID 1704 wrote to memory of 3148	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	105
PID 1704 wrote to memory of 448	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	106
PID 1704 wrote to memory of 448	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	106
PID 1704 wrote to memory of 1860	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	107
PID 1704 wrote to memory of 1860	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	107
PID 1704 wrote to memory of 4896	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	108
PID 1704 wrote to memory of 4896	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	108
PID 1704 wrote to memory of 4432	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	109
PID 1704 wrote to memory of 4432	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	109
PID 1704 wrote to memory of 2448	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	110
PID 1704 wrote to memory of 2448	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	110
PID 1704 wrote to memory of 2256	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	111
PID 1704 wrote to memory of 2256	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	111
PID 1704 wrote to memory of 5068	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	112
PID 1704 wrote to memory of 5068	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	112
PID 1704 wrote to memory of 2968	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	113
PID 1704 wrote to memory of 2968	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	113
PID 1704 wrote to memory of 4376	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	114
PID 1704 wrote to memory of 4376	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	114
PID 1704 wrote to memory of 3408	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	115
PID 1704 wrote to memory of 3408	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	115
PID 1704 wrote to memory of 1464	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	116
PID 1704 wrote to memory of 1464	1704	0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe	116

C:\Users\Admin\AppData\Local\Temp\0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe
"C:\Users\Admin\AppData\Local\Temp\0fde2f4132ad0d68b7b2eeead9c7f2d0N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1704
- C:\Windows\System32\uqCqcyk.exe
  C:\Windows\System32\uqCqcyk.exe
  2⤵
  - Executes dropped EXE
  PID:1896
- C:\Windows\System32\EBvpwzs.exe
  C:\Windows\System32\EBvpwzs.exe
  2⤵
  - Executes dropped EXE
  PID:3380
- C:\Windows\System32\hbxOFuD.exe
  C:\Windows\System32\hbxOFuD.exe
  2⤵
  - Executes dropped EXE
  PID:2888
- C:\Windows\System32\aVVcqNE.exe
  C:\Windows\System32\aVVcqNE.exe
  2⤵
  - Executes dropped EXE
  PID:3504
- C:\Windows\System32\ZiVSwqY.exe
  C:\Windows\System32\ZiVSwqY.exe
  2⤵
  - Executes dropped EXE
  PID:2832
- C:\Windows\System32\ssVcCBx.exe
  C:\Windows\System32\ssVcCBx.exe
  2⤵
  - Executes dropped EXE
  PID:3112
- C:\Windows\System32\btUwNYa.exe
  C:\Windows\System32\btUwNYa.exe
  2⤵
  - Executes dropped EXE
  PID:3260
- C:\Windows\System32\NPNGBse.exe
  C:\Windows\System32\NPNGBse.exe
  2⤵
  - Executes dropped EXE
  PID:2436
- C:\Windows\System32\iHnGGAF.exe
  C:\Windows\System32\iHnGGAF.exe
  2⤵
  - Executes dropped EXE
  PID:2732
- C:\Windows\System32\FRyxdIu.exe
  C:\Windows\System32\FRyxdIu.exe
  2⤵
  - Executes dropped EXE
  PID:2528
- C:\Windows\System32\ZcHkryA.exe
  C:\Windows\System32\ZcHkryA.exe
  2⤵
  - Executes dropped EXE
  PID:2764
- C:\Windows\System32\cksYZow.exe
  C:\Windows\System32\cksYZow.exe
  2⤵
  - Executes dropped EXE
  PID:4608
- C:\Windows\System32\wbvLdbS.exe
  C:\Windows\System32\wbvLdbS.exe
  2⤵
  - Executes dropped EXE
  PID:4688
- C:\Windows\System32\gydwsee.exe
  C:\Windows\System32\gydwsee.exe
  2⤵
  - Executes dropped EXE
  PID:5024
- C:\Windows\System32\THgrhSC.exe
  C:\Windows\System32\THgrhSC.exe
  2⤵
  - Executes dropped EXE
  PID:4060
- C:\Windows\System32\XMWZfMa.exe
  C:\Windows\System32\XMWZfMa.exe
  2⤵
  - Executes dropped EXE
  PID:628
- C:\Windows\System32\WecVGYJ.exe
  C:\Windows\System32\WecVGYJ.exe
  2⤵
  - Executes dropped EXE
  PID:4736
- C:\Windows\System32\arEgXxk.exe
  C:\Windows\System32\arEgXxk.exe
  2⤵
  - Executes dropped EXE
  PID:2804
- C:\Windows\System32\kZfComL.exe
  C:\Windows\System32\kZfComL.exe
  2⤵
  - Executes dropped EXE
  PID:1088
- C:\Windows\System32\PrmWtNq.exe
  C:\Windows\System32\PrmWtNq.exe
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Windows\System32\ZyQVMHl.exe
  C:\Windows\System32\ZyQVMHl.exe
  2⤵
  - Executes dropped EXE
  PID:3148
- C:\Windows\System32\cDypNGD.exe
  C:\Windows\System32\cDypNGD.exe
  2⤵
  - Executes dropped EXE
  PID:448
- C:\Windows\System32\pILRYUp.exe
  C:\Windows\System32\pILRYUp.exe
  2⤵
  - Executes dropped EXE
  PID:1860
- C:\Windows\System32\pzWprvY.exe
  C:\Windows\System32\pzWprvY.exe
  2⤵
  - Executes dropped EXE
  PID:4896
- C:\Windows\System32\ukXKejd.exe
  C:\Windows\System32\ukXKejd.exe
  2⤵
  - Executes dropped EXE
  PID:4432
- C:\Windows\System32\hDzmunk.exe
  C:\Windows\System32\hDzmunk.exe
  2⤵
  - Executes dropped EXE
  PID:2448
- C:\Windows\System32\FOwLFxQ.exe
  C:\Windows\System32\FOwLFxQ.exe
  2⤵
  - Executes dropped EXE
  PID:2256
- C:\Windows\System32\ZNUTpxJ.exe
  C:\Windows\System32\ZNUTpxJ.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\hudjQOw.exe
  C:\Windows\System32\hudjQOw.exe
  2⤵
  - Executes dropped EXE
  PID:2968
- C:\Windows\System32\wXAdDYW.exe
  C:\Windows\System32\wXAdDYW.exe
  2⤵
  - Executes dropped EXE
  PID:4376
- C:\Windows\System32\WMpiEIn.exe
  C:\Windows\System32\WMpiEIn.exe
  2⤵
  - Executes dropped EXE
  PID:3408
- C:\Windows\System32\tYdrnpA.exe
  C:\Windows\System32\tYdrnpA.exe
  2⤵
  - Executes dropped EXE
  PID:1464
- C:\Windows\System32\UKyLJXi.exe
  C:\Windows\System32\UKyLJXi.exe
  2⤵
  - Executes dropped EXE
  PID:3416
- C:\Windows\System32\feillch.exe
  C:\Windows\System32\feillch.exe
  2⤵
  - Executes dropped EXE
  PID:5088
- C:\Windows\System32\PylGPRL.exe
  C:\Windows\System32\PylGPRL.exe
  2⤵
  - Executes dropped EXE
  PID:224
- C:\Windows\System32\lYhPOCo.exe
  C:\Windows\System32\lYhPOCo.exe
  2⤵
  - Executes dropped EXE
  PID:2960
- C:\Windows\System32\jhCNUvJ.exe
  C:\Windows\System32\jhCNUvJ.exe
  2⤵
  - Executes dropped EXE
  PID:4436
- C:\Windows\System32\hKvNWAc.exe
  C:\Windows\System32\hKvNWAc.exe
  2⤵
  - Executes dropped EXE
  PID:4260
- C:\Windows\System32\aEhEFSW.exe
  C:\Windows\System32\aEhEFSW.exe
  2⤵
  - Executes dropped EXE
  PID:1276
- C:\Windows\System32\CXlxKWA.exe
  C:\Windows\System32\CXlxKWA.exe
  2⤵
  - Executes dropped EXE
  PID:1612
- C:\Windows\System32\oiwPzcD.exe
  C:\Windows\System32\oiwPzcD.exe
  2⤵
  - Executes dropped EXE
  PID:2320
- C:\Windows\System32\LIRZiVH.exe
  C:\Windows\System32\LIRZiVH.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\VDaIGuf.exe
  C:\Windows\System32\VDaIGuf.exe
  2⤵
  - Executes dropped EXE
  PID:5056
- C:\Windows\System32\qMUWJKn.exe
  C:\Windows\System32\qMUWJKn.exe
  2⤵
  - Executes dropped EXE
  PID:3648
- C:\Windows\System32\tXNyMuy.exe
  C:\Windows\System32\tXNyMuy.exe
  2⤵
  - Executes dropped EXE
  PID:3044
- C:\Windows\System32\TZXCklB.exe
  C:\Windows\System32\TZXCklB.exe
  2⤵
  - Executes dropped EXE
  PID:2192
- C:\Windows\System32\zPxlIkx.exe
  C:\Windows\System32\zPxlIkx.exe
  2⤵
  - Executes dropped EXE
  PID:3140
- C:\Windows\System32\HeBxdMh.exe
  C:\Windows\System32\HeBxdMh.exe
  2⤵
  - Executes dropped EXE
  PID:2512
- C:\Windows\System32\WcVjzWB.exe
  C:\Windows\System32\WcVjzWB.exe
  2⤵
  - Executes dropped EXE
  PID:4548
- C:\Windows\System32\isVGARJ.exe
  C:\Windows\System32\isVGARJ.exe
  2⤵
  - Executes dropped EXE
  PID:3860
- C:\Windows\System32\oBacQcg.exe
  C:\Windows\System32\oBacQcg.exe
  2⤵
  - Executes dropped EXE
  PID:4820
- C:\Windows\System32\NyQfrdy.exe
  C:\Windows\System32\NyQfrdy.exe
  2⤵
  - Executes dropped EXE
  PID:4364
- C:\Windows\System32\LseyPsS.exe
  C:\Windows\System32\LseyPsS.exe
  2⤵
  - Executes dropped EXE
  PID:1056
- C:\Windows\System32\ygpjKJw.exe
  C:\Windows\System32\ygpjKJw.exe
  2⤵
  - Executes dropped EXE
  PID:3500
- C:\Windows\System32\bnGEthQ.exe
  C:\Windows\System32\bnGEthQ.exe
  2⤵
  - Executes dropped EXE
  PID:3616
- C:\Windows\System32\QcUeZjG.exe
  C:\Windows\System32\QcUeZjG.exe
  2⤵
  - Executes dropped EXE
  PID:696
- C:\Windows\System32\QRQJfIE.exe
  C:\Windows\System32\QRQJfIE.exe
  2⤵
  - Executes dropped EXE
  PID:4492
- C:\Windows\System32\QnCgCXY.exe
  C:\Windows\System32\QnCgCXY.exe
  2⤵
  - Executes dropped EXE
  PID:1796
- C:\Windows\System32\YiPgLsF.exe
  C:\Windows\System32\YiPgLsF.exe
  2⤵
  - Executes dropped EXE
  PID:3016
- C:\Windows\System32\gkEbhMN.exe
  C:\Windows\System32\gkEbhMN.exe
  2⤵
  - Executes dropped EXE
  PID:4324
- C:\Windows\System32\PLtksHn.exe
  C:\Windows\System32\PLtksHn.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\tjTvxqs.exe
  C:\Windows\System32\tjTvxqs.exe
  2⤵
  - Executes dropped EXE
  PID:1412
- C:\Windows\System32\AiOMXjw.exe
  C:\Windows\System32\AiOMXjw.exe
  2⤵
  - Executes dropped EXE
  PID:2152
- C:\Windows\System32\dArGeCp.exe
  C:\Windows\System32\dArGeCp.exe
  2⤵
  - Executes dropped EXE
  PID:4836
- C:\Windows\System32\IPZLZDS.exe
  C:\Windows\System32\IPZLZDS.exe
  2⤵
  PID:2784
- C:\Windows\System32\YMahPDS.exe
  C:\Windows\System32\YMahPDS.exe
  2⤵
  PID:3400
- C:\Windows\System32\VvWFbev.exe
  C:\Windows\System32\VvWFbev.exe
  2⤵
  PID:3664
- C:\Windows\System32\dFMQhum.exe
  C:\Windows\System32\dFMQhum.exe
  2⤵
  PID:3688
- C:\Windows\System32\KyTmwoK.exe
  C:\Windows\System32\KyTmwoK.exe
  2⤵
  PID:4240
- C:\Windows\System32\qmfIFIp.exe
  C:\Windows\System32\qmfIFIp.exe
  2⤵
  PID:4208
- C:\Windows\System32\ajkVLQz.exe
  C:\Windows\System32\ajkVLQz.exe
  2⤵
  PID:4176
- C:\Windows\System32\VgcSLgE.exe
  C:\Windows\System32\VgcSLgE.exe
  2⤵
  PID:4692
- C:\Windows\System32\jgNoNog.exe
  C:\Windows\System32\jgNoNog.exe
  2⤵
  PID:1728
- C:\Windows\System32\CWyeVlq.exe
  C:\Windows\System32\CWyeVlq.exe
  2⤵
  PID:1712
- C:\Windows\System32\OMFSiwR.exe
  C:\Windows\System32\OMFSiwR.exe
  2⤵
  PID:1524
- C:\Windows\System32\hRbbBJD.exe
  C:\Windows\System32\hRbbBJD.exe
  2⤵
  PID:2776
- C:\Windows\System32\VxwBdTx.exe
  C:\Windows\System32\VxwBdTx.exe
  2⤵
  PID:756
- C:\Windows\System32\zfeckba.exe
  C:\Windows\System32\zfeckba.exe
  2⤵
  PID:5072
- C:\Windows\System32\veTLjWb.exe
  C:\Windows\System32\veTLjWb.exe
  2⤵
  PID:2272
- C:\Windows\System32\bPbaDng.exe
  C:\Windows\System32\bPbaDng.exe
  2⤵
  PID:3440
- C:\Windows\System32\FJPCqkB.exe
  C:\Windows\System32\FJPCqkB.exe
  2⤵
  PID:2328
- C:\Windows\System32\OdaBUpv.exe
  C:\Windows\System32\OdaBUpv.exe
  2⤵
  PID:400
- C:\Windows\System32\dCZQvHX.exe
  C:\Windows\System32\dCZQvHX.exe
  2⤵
  PID:3520
- C:\Windows\System32\uwfResh.exe
  C:\Windows\System32\uwfResh.exe
  2⤵
  PID:3060
- C:\Windows\System32\tQzAuQM.exe
  C:\Windows\System32\tQzAuQM.exe
  2⤵
  PID:2480
- C:\Windows\System32\nMMxkNO.exe
  C:\Windows\System32\nMMxkNO.exe
  2⤵
  PID:5092
- C:\Windows\System32\npFDbYa.exe
  C:\Windows\System32\npFDbYa.exe
  2⤵
  PID:4584
- C:\Windows\System32\OTfKAOT.exe
  C:\Windows\System32\OTfKAOT.exe
  2⤵
  PID:5044
- C:\Windows\System32\lYOpWun.exe
  C:\Windows\System32\lYOpWun.exe
  2⤵
  PID:1832
- C:\Windows\System32\ccSteNW.exe
  C:\Windows\System32\ccSteNW.exe
  2⤵
  PID:2324
- C:\Windows\System32\LWBWQfM.exe
  C:\Windows\System32\LWBWQfM.exe
  2⤵
  PID:3656
- C:\Windows\System32\ROofWrv.exe
  C:\Windows\System32\ROofWrv.exe
  2⤵
  PID:5128
- C:\Windows\System32\uoZRjtg.exe
  C:\Windows\System32\uoZRjtg.exe
  2⤵
  PID:5156
- C:\Windows\System32\mnRSUNK.exe
  C:\Windows\System32\mnRSUNK.exe
  2⤵
  PID:5192
- C:\Windows\System32\vardKfW.exe
  C:\Windows\System32\vardKfW.exe
  2⤵
  PID:5220
- C:\Windows\System32\cFQgiHG.exe
  C:\Windows\System32\cFQgiHG.exe
  2⤵
  PID:5240
- C:\Windows\System32\QyLuUoP.exe
  C:\Windows\System32\QyLuUoP.exe
  2⤵
  PID:5268
- C:\Windows\System32\FFAMriz.exe
  C:\Windows\System32\FFAMriz.exe
  2⤵
  PID:5296
- C:\Windows\System32\BKtgNyH.exe
  C:\Windows\System32\BKtgNyH.exe
  2⤵
  PID:5320
- C:\Windows\System32\CgiFPIO.exe
  C:\Windows\System32\CgiFPIO.exe
  2⤵
  PID:5348
- C:\Windows\System32\AfteyQS.exe
  C:\Windows\System32\AfteyQS.exe
  2⤵
  PID:5388
- C:\Windows\System32\LPnrzoI.exe
  C:\Windows\System32\LPnrzoI.exe
  2⤵
  PID:5408
- C:\Windows\System32\NKuQsMl.exe
  C:\Windows\System32\NKuQsMl.exe
  2⤵
  PID:5436
- C:\Windows\System32\JZLFgue.exe
  C:\Windows\System32\JZLFgue.exe
  2⤵
  PID:5464
- C:\Windows\System32\kYPcWWT.exe
  C:\Windows\System32\kYPcWWT.exe
  2⤵
  PID:5488
- C:\Windows\System32\FrmrENl.exe
  C:\Windows\System32\FrmrENl.exe
  2⤵
  PID:5548
- C:\Windows\System32\KtwLGwz.exe
  C:\Windows\System32\KtwLGwz.exe
  2⤵
  PID:5568
- C:\Windows\System32\frTJqKX.exe
  C:\Windows\System32\frTJqKX.exe
  2⤵
  PID:5596
- C:\Windows\System32\FWBSIGh.exe
  C:\Windows\System32\FWBSIGh.exe
  2⤵
  PID:5612
- C:\Windows\System32\RUcyxRu.exe
  C:\Windows\System32\RUcyxRu.exe
  2⤵
  PID:5696
- C:\Windows\System32\NxFawFA.exe
  C:\Windows\System32\NxFawFA.exe
  2⤵
  PID:5712
- C:\Windows\System32\DPIHkON.exe
  C:\Windows\System32\DPIHkON.exe
  2⤵
  PID:5732
- C:\Windows\System32\kWKKrWM.exe
  C:\Windows\System32\kWKKrWM.exe
  2⤵
  PID:5748
- C:\Windows\System32\USmBBaQ.exe
  C:\Windows\System32\USmBBaQ.exe
  2⤵
  PID:5768
- C:\Windows\System32\QuzVibb.exe
  C:\Windows\System32\QuzVibb.exe
  2⤵
  PID:5792
- C:\Windows\System32\tOvzTsU.exe
  C:\Windows\System32\tOvzTsU.exe
  2⤵
  PID:5824
- C:\Windows\System32\zozzvoW.exe
  C:\Windows\System32\zozzvoW.exe
  2⤵
  PID:5884
- C:\Windows\System32\KUBhMNe.exe
  C:\Windows\System32\KUBhMNe.exe
  2⤵
  PID:5960
- C:\Windows\System32\ZacBdXq.exe
  C:\Windows\System32\ZacBdXq.exe
  2⤵
  PID:5976
- C:\Windows\System32\flIthTZ.exe
  C:\Windows\System32\flIthTZ.exe
  2⤵
  PID:5996
- C:\Windows\System32\XLbEjiH.exe
  C:\Windows\System32\XLbEjiH.exe
  2⤵
  PID:6012
- C:\Windows\System32\rSvQfEk.exe
  C:\Windows\System32\rSvQfEk.exe
  2⤵
  PID:6036
- C:\Windows\System32\zIptvuP.exe
  C:\Windows\System32\zIptvuP.exe
  2⤵
  PID:6060
- C:\Windows\System32\IDHqTMp.exe
  C:\Windows\System32\IDHqTMp.exe
  2⤵
  PID:6084
- C:\Windows\System32\fVskCLb.exe
  C:\Windows\System32\fVskCLb.exe
  2⤵
  PID:6104
- C:\Windows\System32\aVNXLuJ.exe
  C:\Windows\System32\aVNXLuJ.exe
  2⤵
  PID:6120
- C:\Windows\System32\rELtgyS.exe
  C:\Windows\System32\rELtgyS.exe
  2⤵
  PID:4084
- C:\Windows\System32\psTzuvN.exe
  C:\Windows\System32\psTzuvN.exe
  2⤵
  PID:116
- C:\Windows\System32\ZecoTQV.exe
  C:\Windows\System32\ZecoTQV.exe
  2⤵
  PID:1372
- C:\Windows\System32\FQXrlaA.exe
  C:\Windows\System32\FQXrlaA.exe
  2⤵
  PID:5148
- C:\Windows\System32\NINakJL.exe
  C:\Windows\System32\NINakJL.exe
  2⤵
  PID:2076
- C:\Windows\System32\rMAsthT.exe
  C:\Windows\System32\rMAsthT.exe
  2⤵
  PID:5280
- C:\Windows\System32\VOLEMRU.exe
  C:\Windows\System32\VOLEMRU.exe
  2⤵
  PID:5328
- C:\Windows\System32\eihENtY.exe
  C:\Windows\System32\eihENtY.exe
  2⤵
  PID:5404
- C:\Windows\System32\wHlZWRr.exe
  C:\Windows\System32\wHlZWRr.exe
  2⤵
  PID:5420
- C:\Windows\System32\KKBsRly.exe
  C:\Windows\System32\KKBsRly.exe
  2⤵
  PID:2576
- C:\Windows\System32\XjANkUU.exe
  C:\Windows\System32\XjANkUU.exe
  2⤵
  PID:4620
- C:\Windows\System32\VIxBpdC.exe
  C:\Windows\System32\VIxBpdC.exe
  2⤵
  PID:728
- C:\Windows\System32\QgMmjdn.exe
  C:\Windows\System32\QgMmjdn.exe
  2⤵
  PID:760
- C:\Windows\System32\lSFJKHs.exe
  C:\Windows\System32\lSFJKHs.exe
  2⤵
  PID:3704
- C:\Windows\System32\kMcYAkY.exe
  C:\Windows\System32\kMcYAkY.exe
  2⤵
  PID:1956
- C:\Windows\System32\JXCrhhd.exe
  C:\Windows\System32\JXCrhhd.exe
  2⤵
  PID:5556
- C:\Windows\System32\JgpmvrF.exe
  C:\Windows\System32\JgpmvrF.exe
  2⤵
  PID:5564
- C:\Windows\System32\TvvobdG.exe
  C:\Windows\System32\TvvobdG.exe
  2⤵
  PID:5624
- C:\Windows\System32\ILerARH.exe
  C:\Windows\System32\ILerARH.exe
  2⤵
  PID:5724
- C:\Windows\System32\nslzVYX.exe
  C:\Windows\System32\nslzVYX.exe
  2⤵
  PID:5908
- C:\Windows\System32\AzILJUy.exe
  C:\Windows\System32\AzILJUy.exe
  2⤵
  PID:5728
- C:\Windows\System32\owIqQgy.exe
  C:\Windows\System32\owIqQgy.exe
  2⤵
  PID:5912
- C:\Windows\System32\qylhroa.exe
  C:\Windows\System32\qylhroa.exe
  2⤵
  PID:6128
- C:\Windows\System32\tnytdFL.exe
  C:\Windows\System32\tnytdFL.exe
  2⤵
  PID:6100
- C:\Windows\System32\ElXUAhl.exe
  C:\Windows\System32\ElXUAhl.exe
  2⤵
  PID:2116
- C:\Windows\System32\fRLoozX.exe
  C:\Windows\System32\fRLoozX.exe
  2⤵
  PID:5168
- C:\Windows\System32\AXWEeij.exe
  C:\Windows\System32\AXWEeij.exe
  2⤵
  PID:5356
- C:\Windows\System32\YaUNNJB.exe
  C:\Windows\System32\YaUNNJB.exe
  2⤵
  PID:5640
- C:\Windows\System32\zucvuFw.exe
  C:\Windows\System32\zucvuFw.exe
  2⤵
  PID:2524
- C:\Windows\System32\UuHOJRk.exe
  C:\Windows\System32\UuHOJRk.exe
  2⤵
  PID:2056
- C:\Windows\System32\NOXBBOY.exe
  C:\Windows\System32\NOXBBOY.exe
  2⤵
  PID:6068
- C:\Windows\System32\nrDGrPU.exe
  C:\Windows\System32\nrDGrPU.exe
  2⤵
  PID:5896
- C:\Windows\System32\wriUijP.exe
  C:\Windows\System32\wriUijP.exe
  2⤵
  PID:5580
- C:\Windows\System32\wQiyEYg.exe
  C:\Windows\System32\wQiyEYg.exe
  2⤵
  PID:5780
- C:\Windows\System32\jYwJoGC.exe
  C:\Windows\System32\jYwJoGC.exe
  2⤵
  PID:5820
- C:\Windows\System32\sZoJVKp.exe
  C:\Windows\System32\sZoJVKp.exe
  2⤵
  PID:6008
- C:\Windows\System32\NTbQFeX.exe
  C:\Windows\System32\NTbQFeX.exe
  2⤵
  PID:5760
- C:\Windows\System32\WygnVDm.exe
  C:\Windows\System32\WygnVDm.exe
  2⤵
  PID:6092
- C:\Windows\System32\bemIiAq.exe
  C:\Windows\System32\bemIiAq.exe
  2⤵
  PID:5036
- C:\Windows\System32\lPjQKEJ.exe
  C:\Windows\System32\lPjQKEJ.exe
  2⤵
  PID:5164
- C:\Windows\System32\rkaIXCV.exe
  C:\Windows\System32\rkaIXCV.exe
  2⤵
  PID:3252
- C:\Windows\System32\UYfFBdU.exe
  C:\Windows\System32\UYfFBdU.exe
  2⤵
  PID:5876
- C:\Windows\System32\rlWqqkV.exe
  C:\Windows\System32\rlWqqkV.exe
  2⤵
  PID:4684
- C:\Windows\System32\JvKfkUM.exe
  C:\Windows\System32\JvKfkUM.exe
  2⤵
  PID:4392
- C:\Windows\System32\tYVHWgb.exe
  C:\Windows\System32\tYVHWgb.exe
  2⤵
  PID:6072
- C:\Windows\System32\fBBfYip.exe
  C:\Windows\System32\fBBfYip.exe
  2⤵
  PID:5652
- C:\Windows\System32\WNQJKVA.exe
  C:\Windows\System32\WNQJKVA.exe
  2⤵
  PID:5872
- C:\Windows\System32\XFFNqZW.exe
  C:\Windows\System32\XFFNqZW.exe
  2⤵
  PID:6172
- C:\Windows\System32\tfeDGSK.exe
  C:\Windows\System32\tfeDGSK.exe
  2⤵
  PID:6192
- C:\Windows\System32\kCcylnJ.exe
  C:\Windows\System32\kCcylnJ.exe
  2⤵
  PID:6212
- C:\Windows\System32\IfHNXri.exe
  C:\Windows\System32\IfHNXri.exe
  2⤵
  PID:6232
- C:\Windows\System32\sNsGVvT.exe
  C:\Windows\System32\sNsGVvT.exe
  2⤵
  PID:6312
- C:\Windows\System32\aUhbkZf.exe
  C:\Windows\System32\aUhbkZf.exe
  2⤵
  PID:6360
- C:\Windows\System32\pdCjTkw.exe
  C:\Windows\System32\pdCjTkw.exe
  2⤵
  PID:6376
- C:\Windows\System32\BgSIxjT.exe
  C:\Windows\System32\BgSIxjT.exe
  2⤵
  PID:6416
- C:\Windows\System32\aWtaHcy.exe
  C:\Windows\System32\aWtaHcy.exe
  2⤵
  PID:6444
- C:\Windows\System32\JfuenGC.exe
  C:\Windows\System32\JfuenGC.exe
  2⤵
  PID:6460
- C:\Windows\System32\bfPrlGI.exe
  C:\Windows\System32\bfPrlGI.exe
  2⤵
  PID:6492
- C:\Windows\System32\lPzWcUU.exe
  C:\Windows\System32\lPzWcUU.exe
  2⤵
  PID:6536
- C:\Windows\System32\nLSlQwU.exe
  C:\Windows\System32\nLSlQwU.exe
  2⤵
  PID:6568
- C:\Windows\System32\TvWSjbZ.exe
  C:\Windows\System32\TvWSjbZ.exe
  2⤵
  PID:6588
- C:\Windows\System32\KAndWxK.exe
  C:\Windows\System32\KAndWxK.exe
  2⤵
  PID:6628
- C:\Windows\System32\wbafPKL.exe
  C:\Windows\System32\wbafPKL.exe
  2⤵
  PID:6644
- C:\Windows\System32\zNHjWeM.exe
  C:\Windows\System32\zNHjWeM.exe
  2⤵
  PID:6664
- C:\Windows\System32\ekLuyGK.exe
  C:\Windows\System32\ekLuyGK.exe
  2⤵
  PID:6684
- C:\Windows\System32\RIpSOvx.exe
  C:\Windows\System32\RIpSOvx.exe
  2⤵
  PID:6756
- C:\Windows\System32\NAcFZXP.exe
  C:\Windows\System32\NAcFZXP.exe
  2⤵
  PID:6772
- C:\Windows\System32\iMDKDsi.exe
  C:\Windows\System32\iMDKDsi.exe
  2⤵
  PID:6792
- C:\Windows\System32\TVnxUaL.exe
  C:\Windows\System32\TVnxUaL.exe
  2⤵
  PID:6820
- C:\Windows\System32\ZGzUBza.exe
  C:\Windows\System32\ZGzUBza.exe
  2⤵
  PID:6840
- C:\Windows\System32\cKSLykD.exe
  C:\Windows\System32\cKSLykD.exe
  2⤵
  PID:6864
- C:\Windows\System32\ppvTfqc.exe
  C:\Windows\System32\ppvTfqc.exe
  2⤵
  PID:6880
- C:\Windows\System32\VpmdjWQ.exe
  C:\Windows\System32\VpmdjWQ.exe
  2⤵
  PID:6908
- C:\Windows\System32\wZIclSI.exe
  C:\Windows\System32\wZIclSI.exe
  2⤵
  PID:6936
- C:\Windows\System32\CloqxYf.exe
  C:\Windows\System32\CloqxYf.exe
  2⤵
  PID:6992
- C:\Windows\System32\lSRhPzz.exe
  C:\Windows\System32\lSRhPzz.exe
  2⤵
  PID:7008
- C:\Windows\System32\oViTMgq.exe
  C:\Windows\System32\oViTMgq.exe
  2⤵
  PID:7032
- C:\Windows\System32\RlouEWX.exe
  C:\Windows\System32\RlouEWX.exe
  2⤵
  PID:7060
- C:\Windows\System32\HMuNWtY.exe
  C:\Windows\System32\HMuNWtY.exe
  2⤵
  PID:7088
- C:\Windows\System32\mRTqcXB.exe
  C:\Windows\System32\mRTqcXB.exe
  2⤵
  PID:7128
- C:\Windows\System32\zNodbkS.exe
  C:\Windows\System32\zNodbkS.exe
  2⤵
  PID:7156
- C:\Windows\System32\JLdxadw.exe
  C:\Windows\System32\JLdxadw.exe
  2⤵
  PID:5484
- C:\Windows\System32\yXuILeA.exe
  C:\Windows\System32\yXuILeA.exe
  2⤵
  PID:6184
- C:\Windows\System32\xzHjFiO.exe
  C:\Windows\System32\xzHjFiO.exe
  2⤵
  PID:6188
- C:\Windows\System32\oWiYSTF.exe
  C:\Windows\System32\oWiYSTF.exe
  2⤵
  PID:6344
- C:\Windows\System32\ZaZInUq.exe
  C:\Windows\System32\ZaZInUq.exe
  2⤵
  PID:6372
- C:\Windows\System32\NdRobxN.exe
  C:\Windows\System32\NdRobxN.exe
  2⤵
  PID:6440
- C:\Windows\System32\edEorZm.exe
  C:\Windows\System32\edEorZm.exe
  2⤵
  PID:6484
- C:\Windows\System32\QbBhaOW.exe
  C:\Windows\System32\QbBhaOW.exe
  2⤵
  PID:6528
- C:\Windows\System32\ejVpTrq.exe
  C:\Windows\System32\ejVpTrq.exe
  2⤵
  PID:6696
- C:\Windows\System32\CALegjW.exe
  C:\Windows\System32\CALegjW.exe
  2⤵
  PID:6768
- C:\Windows\System32\xtgnTsf.exe
  C:\Windows\System32\xtgnTsf.exe
  2⤵
  PID:6816
- C:\Windows\System32\jHSiGpk.exe
  C:\Windows\System32\jHSiGpk.exe
  2⤵
  PID:6856
- C:\Windows\System32\WhXQIQH.exe
  C:\Windows\System32\WhXQIQH.exe
  2⤵
  PID:6428
- C:\Windows\System32\FwEGCOM.exe
  C:\Windows\System32\FwEGCOM.exe
  2⤵
  PID:6920
- C:\Windows\System32\LdJGneg.exe
  C:\Windows\System32\LdJGneg.exe
  2⤵
  PID:7000
- C:\Windows\System32\IqEvGbf.exe
  C:\Windows\System32\IqEvGbf.exe
  2⤵
  PID:7112
- C:\Windows\System32\hKdFsvq.exe
  C:\Windows\System32\hKdFsvq.exe
  2⤵
  PID:6156
- C:\Windows\System32\oVSgSRj.exe
  C:\Windows\System32\oVSgSRj.exe
  2⤵
  PID:7136
- C:\Windows\System32\wlnDyZj.exe
  C:\Windows\System32\wlnDyZj.exe
  2⤵
  PID:6368
- C:\Windows\System32\lIYmldQ.exe
  C:\Windows\System32\lIYmldQ.exe
  2⤵
  PID:6624
- C:\Windows\System32\NTFMJWv.exe
  C:\Windows\System32\NTFMJWv.exe
  2⤵
  PID:6716
- C:\Windows\System32\zNKAKvT.exe
  C:\Windows\System32\zNKAKvT.exe
  2⤵
  PID:6788
- C:\Windows\System32\iFDRWKV.exe
  C:\Windows\System32\iFDRWKV.exe
  2⤵
  PID:7052
- C:\Windows\System32\bgbMFuI.exe
  C:\Windows\System32\bgbMFuI.exe
  2⤵
  PID:6032
- C:\Windows\System32\VjpIdDD.exe
  C:\Windows\System32\VjpIdDD.exe
  2⤵
  PID:6584
- C:\Windows\System32\GwhzUDx.exe
  C:\Windows\System32\GwhzUDx.exe
  2⤵
  PID:7028
- C:\Windows\System32\hADIoOK.exe
  C:\Windows\System32\hADIoOK.exe
  2⤵
  PID:6564
- C:\Windows\System32\FfwZEXL.exe
  C:\Windows\System32\FfwZEXL.exe
  2⤵
  PID:7188
- C:\Windows\System32\KVgAGnx.exe
  C:\Windows\System32\KVgAGnx.exe
  2⤵
  PID:7228
- C:\Windows\System32\oZJckbn.exe
  C:\Windows\System32\oZJckbn.exe
  2⤵
  PID:7256
- C:\Windows\System32\LUuAlpr.exe
  C:\Windows\System32\LUuAlpr.exe
  2⤵
  PID:7276
- C:\Windows\System32\kjHjxze.exe
  C:\Windows\System32\kjHjxze.exe
  2⤵
  PID:7300
- C:\Windows\System32\aUvDWXZ.exe
  C:\Windows\System32\aUvDWXZ.exe
  2⤵
  PID:7332
- C:\Windows\System32\AXlPVJx.exe
  C:\Windows\System32\AXlPVJx.exe
  2⤵
  PID:7360
- C:\Windows\System32\IdZVpFm.exe
  C:\Windows\System32\IdZVpFm.exe
  2⤵
  PID:7384
- C:\Windows\System32\IXqztVK.exe
  C:\Windows\System32\IXqztVK.exe
  2⤵
  PID:7416
- C:\Windows\System32\YeOSlMq.exe
  C:\Windows\System32\YeOSlMq.exe
  2⤵
  PID:7436
- C:\Windows\System32\VpTQfIM.exe
  C:\Windows\System32\VpTQfIM.exe
  2⤵
  PID:7468
- C:\Windows\System32\RPBjEhp.exe
  C:\Windows\System32\RPBjEhp.exe
  2⤵
  PID:7500
- C:\Windows\System32\ZmPHpJo.exe
  C:\Windows\System32\ZmPHpJo.exe
  2⤵
  PID:7532
- C:\Windows\System32\clAWTXs.exe
  C:\Windows\System32\clAWTXs.exe
  2⤵
  PID:7568
- C:\Windows\System32\OOEgjzM.exe
  C:\Windows\System32\OOEgjzM.exe
  2⤵
  PID:7600
- C:\Windows\System32\ZAzrLed.exe
  C:\Windows\System32\ZAzrLed.exe
  2⤵
  PID:7624
- C:\Windows\System32\oeMWxrb.exe
  C:\Windows\System32\oeMWxrb.exe
  2⤵
  PID:7640
- C:\Windows\System32\cwbLuWO.exe
  C:\Windows\System32\cwbLuWO.exe
  2⤵
  PID:7668
- C:\Windows\System32\LitHwDE.exe
  C:\Windows\System32\LitHwDE.exe
  2⤵
  PID:7684
- C:\Windows\System32\asVnCrp.exe
  C:\Windows\System32\asVnCrp.exe
  2⤵
  PID:7712
- C:\Windows\System32\XmguZrU.exe
  C:\Windows\System32\XmguZrU.exe
  2⤵
  PID:7732
- C:\Windows\System32\OlVuwRe.exe
  C:\Windows\System32\OlVuwRe.exe
  2⤵
  PID:7748
- C:\Windows\System32\UozBlVr.exe
  C:\Windows\System32\UozBlVr.exe
  2⤵
  PID:7784
- C:\Windows\System32\BkMrDZg.exe
  C:\Windows\System32\BkMrDZg.exe
  2⤵
  PID:7812
- C:\Windows\System32\yuyyQCY.exe
  C:\Windows\System32\yuyyQCY.exe
  2⤵
  PID:7860
- C:\Windows\System32\FyOrbjf.exe
  C:\Windows\System32\FyOrbjf.exe
  2⤵
  PID:7888
- C:\Windows\System32\AEGYcau.exe
  C:\Windows\System32\AEGYcau.exe
  2⤵
  PID:7920
- C:\Windows\System32\UTdiFnv.exe
  C:\Windows\System32\UTdiFnv.exe
  2⤵
  PID:7948
- C:\Windows\System32\OaHRpzA.exe
  C:\Windows\System32\OaHRpzA.exe
  2⤵
  PID:7976
- C:\Windows\System32\HQypAVj.exe
  C:\Windows\System32\HQypAVj.exe
  2⤵
  PID:7992
- C:\Windows\System32\wBbvXpo.exe
  C:\Windows\System32\wBbvXpo.exe
  2⤵
  PID:8012
- C:\Windows\System32\dtoPxIH.exe
  C:\Windows\System32\dtoPxIH.exe
  2⤵
  PID:8032
- C:\Windows\System32\AGeyRuI.exe
  C:\Windows\System32\AGeyRuI.exe
  2⤵
  PID:8060
- C:\Windows\System32\buGwnGQ.exe
  C:\Windows\System32\buGwnGQ.exe
  2⤵
  PID:8080
- C:\Windows\System32\wYOnvEP.exe
  C:\Windows\System32\wYOnvEP.exe
  2⤵
  PID:8108
- C:\Windows\System32\iWYJHeM.exe
  C:\Windows\System32\iWYJHeM.exe
  2⤵
  PID:8128
- C:\Windows\System32\EUizViZ.exe
  C:\Windows\System32\EUizViZ.exe
  2⤵
  PID:8156
- C:\Windows\System32\bZlKYkK.exe
  C:\Windows\System32\bZlKYkK.exe
  2⤵
  PID:7184
- C:\Windows\System32\IqFEsIq.exe
  C:\Windows\System32\IqFEsIq.exe
  2⤵
  PID:5776
- C:\Windows\System32\wHzQxGd.exe
  C:\Windows\System32\wHzQxGd.exe
  2⤵
  PID:7348
- C:\Windows\System32\KkWrnIh.exe
  C:\Windows\System32\KkWrnIh.exe
  2⤵
  PID:7400
- C:\Windows\System32\VaPNEpX.exe
  C:\Windows\System32\VaPNEpX.exe
  2⤵
  PID:7452
- C:\Windows\System32\ZNjQCSY.exe
  C:\Windows\System32\ZNjQCSY.exe
  2⤵
  PID:7524
- C:\Windows\System32\mZnLqZL.exe
  C:\Windows\System32\mZnLqZL.exe
  2⤵
  PID:7588
- C:\Windows\System32\DYbVRjJ.exe
  C:\Windows\System32\DYbVRjJ.exe
  2⤵
  PID:7648
- C:\Windows\System32\lpgWZyK.exe
  C:\Windows\System32\lpgWZyK.exe
  2⤵
  PID:7696
- C:\Windows\System32\zcbMfoy.exe
  C:\Windows\System32\zcbMfoy.exe
  2⤵
  PID:7800
- C:\Windows\System32\TMmGoKK.exe
  C:\Windows\System32\TMmGoKK.exe
  2⤵
  PID:7796
- C:\Windows\System32\ZxleWok.exe
  C:\Windows\System32\ZxleWok.exe
  2⤵
  PID:7880
- C:\Windows\System32\EirnNno.exe
  C:\Windows\System32\EirnNno.exe
  2⤵
  PID:7960
- C:\Windows\System32\CUKhRRB.exe
  C:\Windows\System32\CUKhRRB.exe
  2⤵
  PID:8104
- C:\Windows\System32\SZfyUxn.exe
  C:\Windows\System32\SZfyUxn.exe
  2⤵
  PID:8140
- C:\Windows\System32\fITlEdw.exe
  C:\Windows\System32\fITlEdw.exe
  2⤵
  PID:8188
- C:\Windows\System32\TCKuohQ.exe
  C:\Windows\System32\TCKuohQ.exe
  2⤵
  PID:7220
- C:\Windows\System32\ZxriwUe.exe
  C:\Windows\System32\ZxriwUe.exe
  2⤵
  PID:7428
- C:\Windows\System32\SCzLqrS.exe
  C:\Windows\System32\SCzLqrS.exe
  2⤵
  PID:7516
- C:\Windows\System32\eOexEyg.exe
  C:\Windows\System32\eOexEyg.exe
  2⤵
  PID:7612
- C:\Windows\System32\vGjFxWr.exe
  C:\Windows\System32\vGjFxWr.exe
  2⤵
  PID:7700
- C:\Windows\System32\EcPutYw.exe
  C:\Windows\System32\EcPutYw.exe
  2⤵
  PID:7844
- C:\Windows\System32\SHPqADL.exe
  C:\Windows\System32\SHPqADL.exe
  2⤵
  PID:7984
- C:\Windows\System32\HSskjml.exe
  C:\Windows\System32\HSskjml.exe
  2⤵
  PID:7240
- C:\Windows\System32\zqCkcDt.exe
  C:\Windows\System32\zqCkcDt.exe
  2⤵
  PID:7872
- C:\Windows\System32\zdIMijz.exe
  C:\Windows\System32\zdIMijz.exe
  2⤵
  PID:8180
- C:\Windows\System32\iBDPvuR.exe
  C:\Windows\System32\iBDPvuR.exe
  2⤵
  PID:7720
- C:\Windows\System32\NfxtmQg.exe
  C:\Windows\System32\NfxtmQg.exe
  2⤵
  PID:8204
- C:\Windows\System32\YQXZqZQ.exe
  C:\Windows\System32\YQXZqZQ.exe
  2⤵
  PID:8224
- C:\Windows\System32\bZcdtXz.exe
  C:\Windows\System32\bZcdtXz.exe
  2⤵
  PID:8244
- C:\Windows\System32\zWTqRDv.exe
  C:\Windows\System32\zWTqRDv.exe
  2⤵
  PID:8284
- C:\Windows\System32\vVfLdZT.exe
  C:\Windows\System32\vVfLdZT.exe
  2⤵
  PID:8316
- C:\Windows\System32\lkgOGZB.exe
  C:\Windows\System32\lkgOGZB.exe
  2⤵
  PID:8344
- C:\Windows\System32\KVelwHv.exe
  C:\Windows\System32\KVelwHv.exe
  2⤵
  PID:8372
- C:\Windows\System32\qVBRIzi.exe
  C:\Windows\System32\qVBRIzi.exe
  2⤵
  PID:8416
- C:\Windows\System32\EWNgIga.exe
  C:\Windows\System32\EWNgIga.exe
  2⤵
  PID:8436
- C:\Windows\System32\BedlMVv.exe
  C:\Windows\System32\BedlMVv.exe
  2⤵
  PID:8464
- C:\Windows\System32\tLuZYoY.exe
  C:\Windows\System32\tLuZYoY.exe
  2⤵
  PID:8488
- C:\Windows\System32\LzVMZix.exe
  C:\Windows\System32\LzVMZix.exe
  2⤵
  PID:8508
- C:\Windows\System32\ssSDcNY.exe
  C:\Windows\System32\ssSDcNY.exe
  2⤵
  PID:8528
- C:\Windows\System32\msbOxrb.exe
  C:\Windows\System32\msbOxrb.exe
  2⤵
  PID:8548
- C:\Windows\System32\PrMGSbV.exe
  C:\Windows\System32\PrMGSbV.exe
  2⤵
  PID:8580
- C:\Windows\System32\odCDibi.exe
  C:\Windows\System32\odCDibi.exe
  2⤵
  PID:8604
- C:\Windows\System32\mepHSta.exe
  C:\Windows\System32\mepHSta.exe
  2⤵
  PID:8656
- C:\Windows\System32\xHySsoQ.exe
  C:\Windows\System32\xHySsoQ.exe
  2⤵
  PID:8680
- C:\Windows\System32\XyDVrfk.exe
  C:\Windows\System32\XyDVrfk.exe
  2⤵
  PID:8696
- C:\Windows\System32\hGjLjQw.exe
  C:\Windows\System32\hGjLjQw.exe
  2⤵
  PID:8720
- C:\Windows\System32\bMVaisN.exe
  C:\Windows\System32\bMVaisN.exe
  2⤵
  PID:8760
- C:\Windows\System32\pLMZJWa.exe
  C:\Windows\System32\pLMZJWa.exe
  2⤵
  PID:8800
- C:\Windows\System32\rrnxCdG.exe
  C:\Windows\System32\rrnxCdG.exe
  2⤵
  PID:8820
- C:\Windows\System32\iGkmDQL.exe
  C:\Windows\System32\iGkmDQL.exe
  2⤵
  PID:8856
- C:\Windows\System32\yhIbzpF.exe
  C:\Windows\System32\yhIbzpF.exe
  2⤵
  PID:8872
- C:\Windows\System32\lAeifHe.exe
  C:\Windows\System32\lAeifHe.exe
  2⤵
  PID:8912
- C:\Windows\System32\ieZXYvt.exe
  C:\Windows\System32\ieZXYvt.exe
  2⤵
  PID:8948
- C:\Windows\System32\eUglxGE.exe
  C:\Windows\System32\eUglxGE.exe
  2⤵
  PID:8968
- C:\Windows\System32\lisAXBy.exe
  C:\Windows\System32\lisAXBy.exe
  2⤵
  PID:8984
- C:\Windows\System32\AEtIHax.exe
  C:\Windows\System32\AEtIHax.exe
  2⤵
  PID:9004
- C:\Windows\System32\dwucZvD.exe
  C:\Windows\System32\dwucZvD.exe
  2⤵
  PID:9028
- C:\Windows\System32\HVQvpvc.exe
  C:\Windows\System32\HVQvpvc.exe
  2⤵
  PID:9044
- C:\Windows\System32\xJkmArG.exe
  C:\Windows\System32\xJkmArG.exe
  2⤵
  PID:9072
- C:\Windows\System32\VbBpAWY.exe
  C:\Windows\System32\VbBpAWY.exe
  2⤵
  PID:9088
- C:\Windows\System32\GVMPIdb.exe
  C:\Windows\System32\GVMPIdb.exe
  2⤵
  PID:9108
- C:\Windows\System32\yNJnEmd.exe
  C:\Windows\System32\yNJnEmd.exe
  2⤵
  PID:9136
- C:\Windows\System32\JmxBblO.exe
  C:\Windows\System32\JmxBblO.exe
  2⤵
  PID:9160
- C:\Windows\System32\PmDOqad.exe
  C:\Windows\System32\PmDOqad.exe
  2⤵
  PID:9200
- C:\Windows\System32\wkFXVvf.exe
  C:\Windows\System32\wkFXVvf.exe
  2⤵
  PID:8240
- C:\Windows\System32\ZXdDXMN.exe
  C:\Windows\System32\ZXdDXMN.exe
  2⤵
  PID:8264
- C:\Windows\System32\wwUbCtY.exe
  C:\Windows\System32\wwUbCtY.exe
  2⤵
  PID:8384
- C:\Windows\System32\ZmIOpeO.exe
  C:\Windows\System32\ZmIOpeO.exe
  2⤵
  PID:8476
- C:\Windows\System32\NlzjlBi.exe
  C:\Windows\System32\NlzjlBi.exe
  2⤵
  PID:8500
- C:\Windows\System32\yghyOre.exe
  C:\Windows\System32\yghyOre.exe
  2⤵
  PID:8648
- C:\Windows\System32\izBKliu.exe
  C:\Windows\System32\izBKliu.exe
  2⤵
  PID:8704
- C:\Windows\System32\aYvWLfN.exe
  C:\Windows\System32\aYvWLfN.exe
  2⤵
  PID:8816
- C:\Windows\System32\iTLREeN.exe
  C:\Windows\System32\iTLREeN.exe
  2⤵
  PID:8852
- C:\Windows\System32\ubCvliV.exe
  C:\Windows\System32\ubCvliV.exe
  2⤵
  PID:8888
- C:\Windows\System32\HXnEBFB.exe
  C:\Windows\System32\HXnEBFB.exe
  2⤵
  PID:8956
- C:\Windows\System32\wGCoPYv.exe
  C:\Windows\System32\wGCoPYv.exe
  2⤵
  PID:9052
- C:\Windows\System32\QYreJGV.exe
  C:\Windows\System32\QYreJGV.exe
  2⤵
  PID:9024
- C:\Windows\System32\IMhNBNz.exe
  C:\Windows\System32\IMhNBNz.exe
  2⤵
  PID:9144
- C:\Windows\System32\BRqPzmP.exe
  C:\Windows\System32\BRqPzmP.exe
  2⤵
  PID:9168
- C:\Windows\System32\GWWRTtf.exe
  C:\Windows\System32\GWWRTtf.exe
  2⤵
  PID:8328
- C:\Windows\System32\pTZfcwT.exe
  C:\Windows\System32\pTZfcwT.exe
  2⤵
  PID:8480
- C:\Windows\System32\gIKQxDQ.exe
  C:\Windows\System32\gIKQxDQ.exe
  2⤵
  PID:8556
- C:\Windows\System32\FFXSzep.exe
  C:\Windows\System32\FFXSzep.exe
  2⤵
  PID:8776
- C:\Windows\System32\QkgWjLp.exe
  C:\Windows\System32\QkgWjLp.exe
  2⤵
  PID:8844
- C:\Windows\System32\WozWMUo.exe
  C:\Windows\System32\WozWMUo.exe
  2⤵
  PID:9000
- C:\Windows\System32\GGjKuij.exe
  C:\Windows\System32\GGjKuij.exe
  2⤵
  PID:8980
- C:\Windows\System32\vTNHOSY.exe
  C:\Windows\System32\vTNHOSY.exe
  2⤵
  PID:9192
- C:\Windows\System32\yjkayys.exe
  C:\Windows\System32\yjkayys.exe
  2⤵
  PID:8456
- C:\Windows\System32\oOQUlrz.exe
  C:\Windows\System32\oOQUlrz.exe
  2⤵
  PID:8976
- C:\Windows\System32\NfgLGFo.exe
  C:\Windows\System32\NfgLGFo.exe
  2⤵
  PID:9264
- C:\Windows\System32\rvUinkY.exe
  C:\Windows\System32\rvUinkY.exe
  2⤵
  PID:9300
- C:\Windows\System32\aqeyDfA.exe
  C:\Windows\System32\aqeyDfA.exe
  2⤵
  PID:9332
- C:\Windows\System32\gOZYsCL.exe
  C:\Windows\System32\gOZYsCL.exe
  2⤵
  PID:9348
- C:\Windows\System32\CjUQbUx.exe
  C:\Windows\System32\CjUQbUx.exe
  2⤵
  PID:9376
- C:\Windows\System32\FPcryEn.exe
  C:\Windows\System32\FPcryEn.exe
  2⤵
  PID:9412
- C:\Windows\System32\SILqcWB.exe
  C:\Windows\System32\SILqcWB.exe
  2⤵
  PID:9480
- C:\Windows\System32\YyEPbuK.exe
  C:\Windows\System32\YyEPbuK.exe
  2⤵
  PID:9508
- C:\Windows\System32\liuXurF.exe
  C:\Windows\System32\liuXurF.exe
  2⤵
  PID:9528
- C:\Windows\System32\lGuczqp.exe
  C:\Windows\System32\lGuczqp.exe
  2⤵
  PID:9568
- C:\Windows\System32\iNJLQHy.exe
  C:\Windows\System32\iNJLQHy.exe
  2⤵
  PID:9648
- C:\Windows\System32\atPEEut.exe
  C:\Windows\System32\atPEEut.exe
  2⤵
  PID:9676
- C:\Windows\System32\kBKMYIL.exe
  C:\Windows\System32\kBKMYIL.exe
  2⤵
  PID:9704
- C:\Windows\System32\BhwnJuT.exe
  C:\Windows\System32\BhwnJuT.exe
  2⤵
  PID:9720
- C:\Windows\System32\pfoIyen.exe
  C:\Windows\System32\pfoIyen.exe
  2⤵
  PID:9748
- C:\Windows\System32\WPAvfrB.exe
  C:\Windows\System32\WPAvfrB.exe
  2⤵
  PID:9780
- C:\Windows\System32\vXXVwLH.exe
  C:\Windows\System32\vXXVwLH.exe
  2⤵
  PID:9796
- C:\Windows\System32\JXDpXtI.exe
  C:\Windows\System32\JXDpXtI.exe
  2⤵
  PID:9824
- C:\Windows\System32\dUOHmGo.exe
  C:\Windows\System32\dUOHmGo.exe
  2⤵
  PID:9864
- C:\Windows\System32\DWqYuOl.exe
  C:\Windows\System32\DWqYuOl.exe
  2⤵
  PID:9884
- C:\Windows\System32\SvVueyS.exe
  C:\Windows\System32\SvVueyS.exe
  2⤵
  PID:9928
- C:\Windows\System32\jLquTWH.exe
  C:\Windows\System32\jLquTWH.exe
  2⤵
  PID:9952
- C:\Windows\System32\hJEkyWq.exe
  C:\Windows\System32\hJEkyWq.exe
  2⤵
  PID:9972
- C:\Windows\System32\ZBKoAhq.exe
  C:\Windows\System32\ZBKoAhq.exe
  2⤵
  PID:10008
- C:\Windows\System32\zApadNZ.exe
  C:\Windows\System32\zApadNZ.exe
  2⤵
  PID:10036
- C:\Windows\System32\jsrnAOV.exe
  C:\Windows\System32\jsrnAOV.exe
  2⤵
  PID:10056
- C:\Windows\System32\YxqMHsn.exe
  C:\Windows\System32\YxqMHsn.exe
  2⤵
  PID:10084
- C:\Windows\System32\kgaLAWL.exe
  C:\Windows\System32\kgaLAWL.exe
  2⤵
  PID:10124
- C:\Windows\System32\CvGrWRr.exe
  C:\Windows\System32\CvGrWRr.exe
  2⤵
  PID:10152
- C:\Windows\System32\spJrrMa.exe
  C:\Windows\System32\spJrrMa.exe
  2⤵
  PID:10172
- C:\Windows\System32\WVnZFjA.exe
  C:\Windows\System32\WVnZFjA.exe
  2⤵
  PID:10196
- C:\Windows\System32\VSNEGJN.exe
  C:\Windows\System32\VSNEGJN.exe
  2⤵
  PID:8664
- C:\Windows\System32\qRTQxOZ.exe
  C:\Windows\System32\qRTQxOZ.exe
  2⤵
  PID:9236
- C:\Windows\System32\wDIUmuJ.exe
  C:\Windows\System32\wDIUmuJ.exe
  2⤵
  PID:8280
- C:\Windows\System32\uxohdSS.exe
  C:\Windows\System32\uxohdSS.exe
  2⤵
  PID:9244
- C:\Windows\System32\BKERfKK.exe
  C:\Windows\System32\BKERfKK.exe
  2⤵
  PID:9272
- C:\Windows\System32\cjCFWSw.exe
  C:\Windows\System32\cjCFWSw.exe
  2⤵
  PID:9364
- C:\Windows\System32\wDwSLYV.exe
  C:\Windows\System32\wDwSLYV.exe
  2⤵
  PID:9400
- C:\Windows\System32\wJzrqKH.exe
  C:\Windows\System32\wJzrqKH.exe
  2⤵
  PID:9436
- C:\Windows\System32\vogzHGe.exe
  C:\Windows\System32\vogzHGe.exe
  2⤵
  PID:9468
- C:\Windows\System32\mYKAcyM.exe
  C:\Windows\System32\mYKAcyM.exe
  2⤵
  PID:9544
- C:\Windows\System32\DkwtRMY.exe
  C:\Windows\System32\DkwtRMY.exe
  2⤵
  PID:9596
- C:\Windows\System32\voqOgIo.exe
  C:\Windows\System32\voqOgIo.exe
  2⤵
  PID:9684
- C:\Windows\System32\zVxamvd.exe
  C:\Windows\System32\zVxamvd.exe
  2⤵
  PID:9736
- C:\Windows\System32\sSrEPxs.exe
  C:\Windows\System32\sSrEPxs.exe
  2⤵
  PID:9788
- C:\Windows\System32\zBXxuJe.exe
  C:\Windows\System32\zBXxuJe.exe
  2⤵
  PID:9880
- C:\Windows\System32\QUDvDbt.exe
  C:\Windows\System32\QUDvDbt.exe
  2⤵
  PID:9920
- C:\Windows\System32\xoMWxly.exe
  C:\Windows\System32\xoMWxly.exe
  2⤵
  PID:9940
- C:\Windows\System32\bMAmgVY.exe
  C:\Windows\System32\bMAmgVY.exe
  2⤵
  PID:10032
- C:\Windows\System32\fySvEll.exe
  C:\Windows\System32\fySvEll.exe
  2⤵
  PID:10100
- C:\Windows\System32\YwqKyIw.exe
  C:\Windows\System32\YwqKyIw.exe
  2⤵
  PID:10224
- C:\Windows\System32\EkqcruK.exe
  C:\Windows\System32\EkqcruK.exe
  2⤵
  PID:9232
- C:\Windows\System32\pCXollF.exe
  C:\Windows\System32\pCXollF.exe
  2⤵
  PID:9284
- C:\Windows\System32\KsdwDlp.exe
  C:\Windows\System32\KsdwDlp.exe
  2⤵
  PID:9560
- C:\Windows\System32\mSMCGwp.exe
  C:\Windows\System32\mSMCGwp.exe
  2⤵
  PID:9524
- C:\Windows\System32\FgblkAy.exe
  C:\Windows\System32\FgblkAy.exe
  2⤵
  PID:9836
- C:\Windows\System32\kWDLvSv.exe
  C:\Windows\System32\kWDLvSv.exe
  2⤵
  PID:9808
- C:\Windows\System32\ZQtkAJS.exe
  C:\Windows\System32\ZQtkAJS.exe
  2⤵
  PID:9960
- C:\Windows\System32\ktKSeAa.exe
  C:\Windows\System32\ktKSeAa.exe
  2⤵
  PID:9948
- C:\Windows\System32\NZRzdut.exe
  C:\Windows\System32\NZRzdut.exe
  2⤵
  PID:9228
- C:\Windows\System32\ARMyBFV.exe
  C:\Windows\System32\ARMyBFV.exe
  2⤵
  PID:9548
- C:\Windows\System32\JLXdHHp.exe
  C:\Windows\System32\JLXdHHp.exe
  2⤵
  PID:9900
- C:\Windows\System32\qkVpzcX.exe
  C:\Windows\System32\qkVpzcX.exe
  2⤵
  PID:9732
- C:\Windows\System32\ExzEifR.exe
  C:\Windows\System32\ExzEifR.exe
  2⤵
  PID:9536
- C:\Windows\System32\gKMFvmP.exe
  C:\Windows\System32\gKMFvmP.exe
  2⤵
  PID:10252
- C:\Windows\System32\rthJrDV.exe
  C:\Windows\System32\rthJrDV.exe
  2⤵
  PID:10280
- C:\Windows\System32\COBXuCH.exe
  C:\Windows\System32\COBXuCH.exe
  2⤵
  PID:10296
- C:\Windows\System32\FcpxnES.exe
  C:\Windows\System32\FcpxnES.exe
  2⤵
  PID:10336
- C:\Windows\System32\AzJOtfR.exe
  C:\Windows\System32\AzJOtfR.exe
  2⤵
  PID:10356
- C:\Windows\System32\KKdDFgV.exe
  C:\Windows\System32\KKdDFgV.exe
  2⤵
  PID:10408
- C:\Windows\System32\nBFIGSm.exe
  C:\Windows\System32\nBFIGSm.exe
  2⤵
  PID:10424
- C:\Windows\System32\huWYQCI.exe
  C:\Windows\System32\huWYQCI.exe
  2⤵
  PID:10448
- C:\Windows\System32\pPdTXRN.exe
  C:\Windows\System32\pPdTXRN.exe
  2⤵
  PID:10468
- C:\Windows\System32\neOcGql.exe
  C:\Windows\System32\neOcGql.exe
  2⤵
  PID:10496
- C:\Windows\System32\bmxSphq.exe
  C:\Windows\System32\bmxSphq.exe
  2⤵
  PID:10512
- C:\Windows\System32\ZZqNDAm.exe
  C:\Windows\System32\ZZqNDAm.exe
  2⤵
  PID:10548
- C:\Windows\System32\gWaYLqA.exe
  C:\Windows\System32\gWaYLqA.exe
  2⤵
  PID:10592
- C:\Windows\System32\PkSPzTb.exe
  C:\Windows\System32\PkSPzTb.exe
  2⤵
  PID:10608
- C:\Windows\System32\aTjgOLL.exe
  C:\Windows\System32\aTjgOLL.exe
  2⤵
  PID:10636
- C:\Windows\System32\lGVUVoL.exe
  C:\Windows\System32\lGVUVoL.exe
  2⤵
  PID:10664
- C:\Windows\System32\ICKppxk.exe
  C:\Windows\System32\ICKppxk.exe
  2⤵
  PID:10684
- C:\Windows\System32\OEcSHgv.exe
  C:\Windows\System32\OEcSHgv.exe
  2⤵
  PID:10704
- C:\Windows\System32\IQiFRJi.exe
  C:\Windows\System32\IQiFRJi.exe
  2⤵
  PID:10728
- C:\Windows\System32\xrERsvC.exe
  C:\Windows\System32\xrERsvC.exe
  2⤵
  PID:10752
- C:\Windows\System32\PGjAxJV.exe
  C:\Windows\System32\PGjAxJV.exe
  2⤵
  PID:10772
- C:\Windows\System32\tWXZuJQ.exe
  C:\Windows\System32\tWXZuJQ.exe
  2⤵
  PID:10796
- C:\Windows\System32\iUztOQD.exe
  C:\Windows\System32\iUztOQD.exe
  2⤵
  PID:10820
- C:\Windows\System32\pRCbYek.exe
  C:\Windows\System32\pRCbYek.exe
  2⤵
  PID:10868
- C:\Windows\System32\VetIrdk.exe
  C:\Windows\System32\VetIrdk.exe
  2⤵
  PID:10900
- C:\Windows\System32\SDJodaS.exe
  C:\Windows\System32\SDJodaS.exe
  2⤵
  PID:10924
- C:\Windows\System32\SFZiUBu.exe
  C:\Windows\System32\SFZiUBu.exe
  2⤵
  PID:10952
- C:\Windows\System32\skwJjAj.exe
  C:\Windows\System32\skwJjAj.exe
  2⤵
  PID:10996
- C:\Windows\System32\qglZooI.exe
  C:\Windows\System32\qglZooI.exe
  2⤵
  PID:11028
- C:\Windows\System32\iyaCsIo.exe
  C:\Windows\System32\iyaCsIo.exe
  2⤵
  PID:11048
- C:\Windows\System32\kWXTqOH.exe
  C:\Windows\System32\kWXTqOH.exe
  2⤵
  PID:11064
- C:\Windows\System32\oSVAHxg.exe
  C:\Windows\System32\oSVAHxg.exe
  2⤵
  PID:11092
- C:\Windows\System32\jKgHMvC.exe
  C:\Windows\System32\jKgHMvC.exe
  2⤵
  PID:11116
- C:\Windows\System32\QvOkUcc.exe
  C:\Windows\System32\QvOkUcc.exe
  2⤵
  PID:11136
- C:\Windows\System32\CfnSEDR.exe
  C:\Windows\System32\CfnSEDR.exe
  2⤵
  PID:11156
- C:\Windows\System32\FMLgiwW.exe
  C:\Windows\System32\FMLgiwW.exe
  2⤵
  PID:11176
- C:\Windows\System32\KEAvBTJ.exe
  C:\Windows\System32\KEAvBTJ.exe
  2⤵
  PID:11204
- C:\Windows\System32\amrkcYW.exe
  C:\Windows\System32\amrkcYW.exe
  2⤵
  PID:10264
- C:\Windows\System32\GIlJVdO.exe
  C:\Windows\System32\GIlJVdO.exe
  2⤵
  PID:10288
- C:\Windows\System32\mLcuzee.exe
  C:\Windows\System32\mLcuzee.exe
  2⤵
  PID:10392
- C:\Windows\System32\xSQytBw.exe
  C:\Windows\System32\xSQytBw.exe
  2⤵
  PID:10460
- C:\Windows\System32\wFPFCBQ.exe
  C:\Windows\System32\wFPFCBQ.exe
  2⤵
  PID:10524
- C:\Windows\System32\hAManCA.exe
  C:\Windows\System32\hAManCA.exe
  2⤵
  PID:10604
- C:\Windows\System32\mrqjrQU.exe
  C:\Windows\System32\mrqjrQU.exe
  2⤵
  PID:10656
- C:\Windows\System32\iOaRdjT.exe
  C:\Windows\System32\iOaRdjT.exe
  2⤵
  PID:10700
- C:\Windows\System32\geZlcID.exe
  C:\Windows\System32\geZlcID.exe
  2⤵
  PID:10812
- C:\Windows\System32\HENJrCN.exe
  C:\Windows\System32\HENJrCN.exe
  2⤵
  PID:10840
- C:\Windows\System32\scMfzMl.exe
  C:\Windows\System32\scMfzMl.exe
  2⤵
  PID:10896
- C:\Windows\System32\YRNqbuX.exe
  C:\Windows\System32\YRNqbuX.exe
  2⤵
  PID:10944
- C:\Windows\System32\cqEYVcK.exe
  C:\Windows\System32\cqEYVcK.exe
  2⤵
  PID:10984
- C:\Windows\System32\rJDPyGz.exe
  C:\Windows\System32\rJDPyGz.exe
  2⤵
  PID:11044
- C:\Windows\System32\clrfkFr.exe
  C:\Windows\System32\clrfkFr.exe
  2⤵
  PID:11148
- C:\Windows\System32\tSxqJay.exe
  C:\Windows\System32\tSxqJay.exe
  2⤵
  PID:11144
- C:\Windows\System32\SekpkgQ.exe
  C:\Windows\System32\SekpkgQ.exe
  2⤵
  PID:10164
- C:\Windows\System32\DTHoTyw.exe
  C:\Windows\System32\DTHoTyw.exe
  2⤵
  PID:10308
- C:\Windows\System32\TnVlGlk.exe
  C:\Windows\System32\TnVlGlk.exe
  2⤵
  PID:10492
- C:\Windows\System32\dxKIQcm.exe
  C:\Windows\System32\dxKIQcm.exe
  2⤵
  PID:10632
- C:\Windows\System32\esuUsaP.exe
  C:\Windows\System32\esuUsaP.exe
  2⤵
  PID:11004
- C:\Windows\System32\kIcmmlU.exe
  C:\Windows\System32\kIcmmlU.exe
  2⤵
  PID:11168
- C:\Windows\System32\JDxNxfL.exe
  C:\Windows\System32\JDxNxfL.exe
  2⤵
  PID:11232
- C:\Windows\System32\NCBOatF.exe
  C:\Windows\System32\NCBOatF.exe
  2⤵
  PID:10628
- C:\Windows\System32\GBEAMts.exe
  C:\Windows\System32\GBEAMts.exe
  2⤵
  PID:10760
- C:\Windows\System32\wlMGAgR.exe
  C:\Windows\System32\wlMGAgR.exe
  2⤵
  PID:11100
- C:\Windows\System32\vyLwMFS.exe
  C:\Windows\System32\vyLwMFS.exe
  2⤵
  PID:10940
- C:\Windows\System32\Fxytvai.exe
  C:\Windows\System32\Fxytvai.exe
  2⤵
  PID:11284
- C:\Windows\System32\PWEZGcZ.exe
  C:\Windows\System32\PWEZGcZ.exe
  2⤵
  PID:11308
- C:\Windows\System32\CVcXZSM.exe
  C:\Windows\System32\CVcXZSM.exe
  2⤵
  PID:11344
- C:\Windows\System32\YruHWAa.exe
  C:\Windows\System32\YruHWAa.exe
  2⤵
  PID:11388
- C:\Windows\System32\NhCrAar.exe
  C:\Windows\System32\NhCrAar.exe
  2⤵
  PID:11404
- C:\Windows\System32\eBqmcYN.exe
  C:\Windows\System32\eBqmcYN.exe
  2⤵
  PID:11432
- C:\Windows\System32\aOQffcD.exe
  C:\Windows\System32\aOQffcD.exe
  2⤵
  PID:11464
- C:\Windows\System32\xkopLaI.exe
  C:\Windows\System32\xkopLaI.exe
  2⤵
  PID:11500
- C:\Windows\System32\KtrYzal.exe
  C:\Windows\System32\KtrYzal.exe
  2⤵
  PID:11524
- C:\Windows\System32\GXDzjRR.exe
  C:\Windows\System32\GXDzjRR.exe
  2⤵
  PID:11552
- C:\Windows\System32\GSpXvEF.exe
  C:\Windows\System32\GSpXvEF.exe
  2⤵
  PID:11576
- C:\Windows\System32\swIrpnk.exe
  C:\Windows\System32\swIrpnk.exe
  2⤵
  PID:11600
- C:\Windows\System32\PGzsglq.exe
  C:\Windows\System32\PGzsglq.exe
  2⤵
  PID:11636
- C:\Windows\System32\zWQmSFW.exe
  C:\Windows\System32\zWQmSFW.exe
  2⤵
  PID:11668
- C:\Windows\System32\bUAuGTP.exe
  C:\Windows\System32\bUAuGTP.exe
  2⤵
  PID:11692
- C:\Windows\System32\iTqIoZL.exe
  C:\Windows\System32\iTqIoZL.exe
  2⤵
  PID:11712
- C:\Windows\System32\elIuCuV.exe
  C:\Windows\System32\elIuCuV.exe
  2⤵
  PID:11728
- C:\Windows\System32\jurnKue.exe
  C:\Windows\System32\jurnKue.exe
  2⤵
  PID:11776
- C:\Windows\System32\nWHuOlX.exe
  C:\Windows\System32\nWHuOlX.exe
  2⤵
  PID:11796
- C:\Windows\System32\kwQHUnz.exe
  C:\Windows\System32\kwQHUnz.exe
  2⤵
  PID:11816
- C:\Windows\System32\vfmOyUn.exe
  C:\Windows\System32\vfmOyUn.exe
  2⤵
  PID:11844
- C:\Windows\System32\fXAYmAu.exe
  C:\Windows\System32\fXAYmAu.exe
  2⤵
  PID:11872
- C:\Windows\System32\QsIUlxA.exe
  C:\Windows\System32\QsIUlxA.exe
  2⤵
  PID:11916
- C:\Windows\System32\dEamwDR.exe
  C:\Windows\System32\dEamwDR.exe
  2⤵
  PID:11936
- C:\Windows\System32\ANbsIkr.exe
  C:\Windows\System32\ANbsIkr.exe
  2⤵
  PID:11952
- C:\Windows\System32\JLZTJsH.exe
  C:\Windows\System32\JLZTJsH.exe
  2⤵
  PID:11972
- C:\Windows\System32\LoVUHDz.exe
  C:\Windows\System32\LoVUHDz.exe
  2⤵
  PID:11992
- C:\Windows\System32\BXlIFYW.exe
  C:\Windows\System32\BXlIFYW.exe
  2⤵
  PID:12024
- C:\Windows\System32\ZRLqDYn.exe
  C:\Windows\System32\ZRLqDYn.exe
  2⤵
  PID:12064
- C:\Windows\System32\ztEcWIc.exe
  C:\Windows\System32\ztEcWIc.exe
  2⤵
  PID:12104
- C:\Windows\System32\YUgXGvC.exe
  C:\Windows\System32\YUgXGvC.exe
  2⤵
  PID:12128
- C:\Windows\System32\rhVXlQi.exe
  C:\Windows\System32\rhVXlQi.exe
  2⤵
  PID:12152
- C:\Windows\System32\kLTnKaz.exe
  C:\Windows\System32\kLTnKaz.exe
  2⤵
  PID:12184
- C:\Windows\System32\QfrRIFG.exe
  C:\Windows\System32\QfrRIFG.exe
  2⤵
  PID:12208
- C:\Windows\System32\JXWGABf.exe
  C:\Windows\System32\JXWGABf.exe
  2⤵
  PID:12252
- C:\Windows\System32\KPPdvmy.exe
  C:\Windows\System32\KPPdvmy.exe
  2⤵
  PID:12276
- C:\Windows\System32\OQJMlMQ.exe
  C:\Windows\System32\OQJMlMQ.exe
  2⤵
  PID:11268
- C:\Windows\System32\UMfkWQF.exe
  C:\Windows\System32\UMfkWQF.exe
  2⤵
  PID:11280
- C:\Windows\System32\CwROwfw.exe
  C:\Windows\System32\CwROwfw.exe
  2⤵
  PID:11364
- C:\Windows\System32\zZQIzSV.exe
  C:\Windows\System32\zZQIzSV.exe
  2⤵
  PID:11444
- C:\Windows\System32\BYJmwUQ.exe
  C:\Windows\System32\BYJmwUQ.exe
  2⤵
  PID:11544
- C:\Windows\System32\SunSDtQ.exe
  C:\Windows\System32\SunSDtQ.exe
  2⤵
  PID:11568
- C:\Windows\System32\VrGGoOy.exe
  C:\Windows\System32\VrGGoOy.exe
  2⤵
  PID:11656
- C:\Windows\System32\ehwavfk.exe
  C:\Windows\System32\ehwavfk.exe
  2⤵
  PID:11708
- C:\Windows\System32\vxhjpLN.exe
  C:\Windows\System32\vxhjpLN.exe
  2⤵
  PID:11740
- C:\Windows\System32\DlkosRX.exe
  C:\Windows\System32\DlkosRX.exe
  2⤵
  PID:11824
- C:\Windows\System32\TRtRCjF.exe
  C:\Windows\System32\TRtRCjF.exe
  2⤵
  PID:11932
- C:\Windows\System32\lvlHXkK.exe
  C:\Windows\System32\lvlHXkK.exe
  2⤵
  PID:11988
- C:\Windows\System32\TfPYZqK.exe
  C:\Windows\System32\TfPYZqK.exe
  2⤵
  PID:10504
- C:\Windows\System32\SywDFBf.exe
  C:\Windows\System32\SywDFBf.exe
  2⤵
  PID:12120
- C:\Windows\System32\RNrQbAJ.exe
  C:\Windows\System32\RNrQbAJ.exe
  2⤵
  PID:12172
- C:\Windows\System32\ezOthWo.exe
  C:\Windows\System32\ezOthWo.exe
  2⤵
  PID:840
- C:\Windows\System32\RNgkSLN.exe
  C:\Windows\System32\RNgkSLN.exe
  2⤵
  PID:12260
- C:\Windows\System32\BCruenu.exe
  C:\Windows\System32\BCruenu.exe
  2⤵
  PID:1432
- C:\Windows\System32\KVtDPKG.exe
  C:\Windows\System32\KVtDPKG.exe
  2⤵
  PID:11520
- C:\Windows\System32\saTyJnX.exe
  C:\Windows\System32\saTyJnX.exe
  2⤵
  PID:11596
- C:\Windows\System32\LELOJIU.exe
  C:\Windows\System32\LELOJIU.exe
  2⤵
  PID:11652
- C:\Windows\System32\UFVWYKw.exe
  C:\Windows\System32\UFVWYKw.exe
  2⤵
  PID:11788
- C:\Windows\System32\SGeZfEc.exe
  C:\Windows\System32\SGeZfEc.exe
  2⤵
  PID:12012
- C:\Windows\System32\HhfyVTU.exe
  C:\Windows\System32\HhfyVTU.exe
  2⤵
  PID:12032
- C:\Windows\System32\OZhdkZz.exe
  C:\Windows\System32\OZhdkZz.exe
  2⤵
  PID:12180
- C:\Windows\System32\vmaevwh.exe
  C:\Windows\System32\vmaevwh.exe
  2⤵
  PID:11296
- C:\Windows\System32\ejhZXfc.exe
  C:\Windows\System32\ejhZXfc.exe
  2⤵
  PID:11784
- C:\Windows\System32\VLXfTrc.exe
  C:\Windows\System32\VLXfTrc.exe
  2⤵
  PID:12144
- C:\Windows\System32\rJCqHFV.exe
  C:\Windows\System32\rJCqHFV.exe
  2⤵
  PID:4216
- C:\Windows\System32\ApunwQW.exe
  C:\Windows\System32\ApunwQW.exe
  2⤵
  PID:11880
- C:\Windows\System32\oKrmVKT.exe
  C:\Windows\System32\oKrmVKT.exe
  2⤵
  PID:1652
- C:\Windows\System32\wGeTnbe.exe
  C:\Windows\System32\wGeTnbe.exe
  2⤵
  PID:12304
- C:\Windows\System32\RJAYBWn.exe
  C:\Windows\System32\RJAYBWn.exe
  2⤵
  PID:12332
- C:\Windows\System32\xqsUBRo.exe
  C:\Windows\System32\xqsUBRo.exe
  2⤵
  PID:12364
- C:\Windows\System32\iopFcdD.exe
  C:\Windows\System32\iopFcdD.exe
  2⤵
  PID:12388
- C:\Windows\System32\MxCROLS.exe
  C:\Windows\System32\MxCROLS.exe
  2⤵
  PID:12404
- C:\Windows\System32\IMueCud.exe
  C:\Windows\System32\IMueCud.exe
  2⤵
  PID:12432
- C:\Windows\System32\fRfTDmB.exe
  C:\Windows\System32\fRfTDmB.exe
  2⤵
  PID:12456
- C:\Windows\System32\YkVhuXK.exe
  C:\Windows\System32\YkVhuXK.exe
  2⤵
  PID:12488
- C:\Windows\System32\hVDeXml.exe
  C:\Windows\System32\hVDeXml.exe
  2⤵
  PID:12504
- C:\Windows\System32\iwMzatz.exe
  C:\Windows\System32\iwMzatz.exe
  2⤵
  PID:12548
- C:\Windows\System32\yHfBKwX.exe
  C:\Windows\System32\yHfBKwX.exe
  2⤵
  PID:12620
- C:\Windows\System32\aNkVYaT.exe
  C:\Windows\System32\aNkVYaT.exe
  2⤵
  PID:12640
- C:\Windows\System32\zXuMcvB.exe
  C:\Windows\System32\zXuMcvB.exe
  2⤵
  PID:12664
- C:\Windows\System32\ZdvhptW.exe
  C:\Windows\System32\ZdvhptW.exe
  2⤵
  PID:12680
- C:\Windows\System32\ahIbAPJ.exe
  C:\Windows\System32\ahIbAPJ.exe
  2⤵
  PID:12708
- C:\Windows\System32\QXfusRZ.exe
  C:\Windows\System32\QXfusRZ.exe
  2⤵
  PID:12728
- C:\Windows\System32\UOGLkNk.exe
  C:\Windows\System32\UOGLkNk.exe
  2⤵
  PID:12752
- C:\Windows\System32\mkcogsr.exe
  C:\Windows\System32\mkcogsr.exe
  2⤵
  PID:12784
- C:\Windows\System32\gzJbDMn.exe
  C:\Windows\System32\gzJbDMn.exe
  2⤵
  PID:12800
- C:\Windows\System32\PEXZHVk.exe
  C:\Windows\System32\PEXZHVk.exe
  2⤵
  PID:12832
- C:\Windows\System32\wJyRixz.exe
  C:\Windows\System32\wJyRixz.exe
  2⤵
  PID:12860
- C:\Windows\System32\FpTFMWm.exe
  C:\Windows\System32\FpTFMWm.exe
  2⤵
  PID:12904
- C:\Windows\System32\ScbEYJA.exe
  C:\Windows\System32\ScbEYJA.exe
  2⤵
  PID:12960
- C:\Windows\System32\flpNGab.exe
  C:\Windows\System32\flpNGab.exe
  2⤵
  PID:12976
- C:\Windows\System32\fIRZizl.exe
  C:\Windows\System32\fIRZizl.exe
  2⤵
  PID:13004
- C:\Windows\System32\sbuHrhU.exe
  C:\Windows\System32\sbuHrhU.exe
  2⤵
  PID:13028
- C:\Windows\System32\fsJNywW.exe
  C:\Windows\System32\fsJNywW.exe
  2⤵
  PID:13052
- C:\Windows\System32\lLAoZnl.exe
  C:\Windows\System32\lLAoZnl.exe
  2⤵
  PID:13076
- C:\Windows\System32\dDlqcEB.exe
  C:\Windows\System32\dDlqcEB.exe
  2⤵
  PID:13096
- C:\Windows\System32\eiwpfYs.exe
  C:\Windows\System32\eiwpfYs.exe
  2⤵
  PID:13124
- C:\Windows\System32\GLBgsUF.exe
  C:\Windows\System32\GLBgsUF.exe
  2⤵
  PID:13176
- C:\Windows\System32\DiuVhQj.exe
  C:\Windows\System32\DiuVhQj.exe
  2⤵
  PID:13208
- C:\Windows\System32\FiuUQCu.exe
  C:\Windows\System32\FiuUQCu.exe
  2⤵
  PID:13228
- C:\Windows\System32\ayHRqup.exe
  C:\Windows\System32\ayHRqup.exe
  2⤵
  PID:13252

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13152

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\EBvpwzs.exe

Filesize
1.7MB

MD5
46050c42749eb15c27ba7e718231f502

SHA1
e88a33135e2f0e4b2a06dec4a3ec6f608c110de3

SHA256
2d9f0bc367d5bc5d1c8943d60678666d5b12707c4ce4f25f466dec4e7adb91e5

SHA512
34f0893ce6db3f43cf0e024cfd8e5b7df51ccd4cca25080f0d651ca6e314a4328cdabf7b2ff31bab8359f233fee745ef87abcffae97fd765e293de15f48ab7aa

Download Submit
C:\Windows\System32\FOwLFxQ.exe

Filesize
1.7MB

MD5
856e91fd7003a2c0078aa26bee655315

SHA1
2debf2bcd87872ed13eb1aa4a6379c9204cb7ca8

SHA256
9d02066ec3eab1458148712ff632ab2e9c93075fb89b69c56f26fe5ccdee3414

SHA512
c600a6316406b8d9180871eb20389bda42c2f4d8bb2da35cf78cfe68a914e5ffefd4417d9cc0afba968dd4873e0e842dd5b8ad3baa7e2f42f9bcd79c9a86c33f

Download Submit
C:\Windows\System32\FRyxdIu.exe

Filesize
1.7MB

MD5
dd48ca6879559921e20929482eb0e71f

SHA1
80e2a7a8d1ae0f02b29689d84218cf0b6b6070b2

SHA256
b62fd98c5bd5b4ee55182591cd71dd165220c66c58ae4016850feffd6f840581

SHA512
26d30f134eaad9b7556fff01147c44d470edd84f58aa2c42970bf841fd3e5bbfe397bf9b31e99197029db2b149d7857e71ddf6fe6029c80edb5409c04e08fb7b

Download Submit
C:\Windows\System32\NPNGBse.exe

Filesize
1.7MB

MD5
6702e12284bd0b07ac796131ddec5cf6

SHA1
85e66a6bbe54012c9c37fd996d8080a59b9c08bf

SHA256
78220f3f11d5a412480ae99435c629b1c41e063e3df9b467f1924dd5b750869c

SHA512
179ccdb852e38971a3b94a2e3d9a967e16f2cbefa1dda0278f1decaddca552a8c3a7adda8036ca2a91505bba016a92e5485377285087327e7f9aa5beadadacd2

Download Submit
C:\Windows\System32\PrmWtNq.exe

Filesize
1.7MB

MD5
9cb33e4b9f567e07b36b466618d94ea7

SHA1
e6ed9bf978144e119b5e395736a5b94eace7822e

SHA256
5b4a91fdd4e157c44ac016a8faf6d4c850f63bacd5472c22d1735cedf5f6a5c3

SHA512
29da95065e9c3ac5362344c5d003b33324794aa04f01ef45217b7824f1fb8f37fa83b7439bb96635d748ded503a0f4bf2efbff7d31bcf681937b00bb8611baf4

Download Submit
C:\Windows\System32\THgrhSC.exe

Filesize
1.7MB

MD5
96dc1d44bd79984c2b79078818668020

SHA1
2b4f114dac0cdbf180884f706abe51fe07df6431

SHA256
4897a89f8ea9aad3c199ec3ed50792482d05ec416c5e592a67d9c6b710179ff8

SHA512
80e59d1ade0731eb54981f9d6386dcc9dafcc823fe4a059a6035789092fc64862e041c2d9808e4b4781d2768def916f2e10f0fc00aa6c34ac76cfb1db44a9f4a

Download Submit
C:\Windows\System32\WMpiEIn.exe

Filesize
1.7MB

MD5
523c78fe4b12fae1459211ed8256df2d

SHA1
121d49f850d7a3921010eab76b86282f929e38a5

SHA256
a5c02fec163b0f936c7e0fc1754a6744c174df62cf6bc963e0b276c538a1b603

SHA512
e61e5ab01ee191dbcb14663c9b47418f7a48abdee27f320c11a6b191c6ae4967a8c8dd69d248febbadfdbc6ae6a6859ea9f23448a47a59934dd486437b44b5ac

Download Submit
C:\Windows\System32\WecVGYJ.exe

Filesize
1.7MB

MD5
96fee334193faf992d1134eb27c01d35

SHA1
e1a643bf6bdea89bdebd58f88255d63500a3afc7

SHA256
8bafdf2289d8d7b31210366051227ef2d82d8589d38807381d0f2a7e46ff4451

SHA512
971283ccbe87d5667229e5b6737f7b1f1fb3c66fae8c365dfa73d21952548dbbd1e027d82fa15a80dba424f18bc24bac72bbbe8d679597d0e7c52fe6deba042c

Download Submit
C:\Windows\System32\XMWZfMa.exe

Filesize
1.7MB

MD5
b8d35c20959d0bef8cbcbdc635518969

SHA1
951eba1629649d8f9a2bbe73db858ed468d55626

SHA256
3409275ea8875b568efa9049029af0d708000b19fb3ae2bd7667c4778a4bc645

SHA512
b0954f4e7f249f62836dc4e0951efe9febcafe8e9f83720da75d1763696c081641df35d12ccda7a4985286ea0ad51af4db2c36278a245c3087a1dcfcd5726828

Download Submit
C:\Windows\System32\ZNUTpxJ.exe

Filesize
1.7MB

MD5
b369bc0c3e31d3ef746f0c7abf66510f

SHA1
7c75f2570d2ed775cae6ad4e25e8b07a61d23466

SHA256
0ef64375913a1ce11a303557c48a64f3b6d6665004bde7f656b8e29935621a31

SHA512
0ce9abeb3159a1d2e965b4a52556183a70168744fb13a88f00d3f8715691e9ba7d585b49733267cb5081640fd267a0ffc43cc40c88588eb24009ab52858f2aa0

Download Submit
C:\Windows\System32\ZcHkryA.exe

Filesize
1.7MB

MD5
7c30b36a8a638f565792db71c062e801

SHA1
44f406e91fd58a4d97b2a292f4b945ed1271128c

SHA256
c6540a1e8acadb11472945f9ac0e514dac0f956ef59a1b9220ce577d452aeb25

SHA512
d01d1b89efb0ea1d3629fbf7881530e7e1ad478438d055ea51d9250fb05d4921a8948f0e8ab2868296d1757a34efa0a8286065a2f97fb52e1b1ebe3362200d01

Download Submit
C:\Windows\System32\ZiVSwqY.exe

Filesize
1.7MB

MD5
16110116a21150d06e9b6154a04e580e

SHA1
99acf594e816c5ee499ef2ac88e66f7fa7f71762

SHA256
829941ec32c162586ece265f88fb4120c71761018f81918c4095af6149d57eb7

SHA512
b4b3a45680952f064fff8b1100c6a82417dc11396d73415c50ecdb60aec54ae232a0a6bc6ee8837e05cebae8bd17e5a5e7b6a87d085a17488f52086b34a27db0

Download Submit
C:\Windows\System32\ZyQVMHl.exe

Filesize
1.7MB

MD5
85bfbbd5aebf8bc9b87384384eb9431f

SHA1
44983f21c9119d6b4674ad1e99a946deb9afc946

SHA256
b415ab3d84cfd0e31ccbe31608cb039ab41964d928cf372aef3993297b8fdd20

SHA512
703ff8f890124d4c0eacbdcceb06902de79f809392ae85f177660b05b5a10a27f69269d15d0c4c5cb60c3eba851aa05be9f6f8653693828d5de60c1be6b11e36

Download Submit
C:\Windows\System32\aVVcqNE.exe

Filesize
1.7MB

MD5
0af7e437102b64ce12b24e2768fd2290

SHA1
9eecea1ca68ea07357733f3b982302bbe25b476d

SHA256
8a0a7116d62d790cd34bda7288cd4ed2e45bc4931a40435ba2ba51f0ec9c5c21

SHA512
d6d925106f336cb52ab342afe6a870915ef068b48585060e51d31b6518b0500619102e0b41d771411586167516a80d4f577b0f623ef68cbdfc934718966ecb86

Download Submit
C:\Windows\System32\arEgXxk.exe

Filesize
1.7MB

MD5
e463843e03625cc01647f7fb30e72364

SHA1
20634fa3f6d8071bde88d6e316fd6098940cec3e

SHA256
d9d2090e9d1c6f5b897e7c4dd62ec52cfc6d8a0b2dbdeedcf16bbea7ea845209

SHA512
a2f5d472ed3ce3fdedb38965bd00bed132ae951e3a8950ea0103b5f61a5900c54a9bae717b8de0188168c889d5e5e844092593a0ecd2103b2b5158e8f28675d4

Download Submit
C:\Windows\System32\btUwNYa.exe

Filesize
1.7MB

MD5
7d9ba87fc03c4b849e2b3da0716b4fb4

SHA1
92e7ee6f4fd72a8b77f0c37d6425072419e03bb9

SHA256
d54589b814adca0ebe5e89524bfec2d001228591cdf8d29aeafc816931c62bf6

SHA512
31c07baaf4c2564e5d2bd7bd318801602a0019f33cbcd9fafe25443c25ffb4b6b214d6dc105e0ceb74f8b3b04c87d6cde3a81cfba85a49be08571ab834adc309

Download Submit
C:\Windows\System32\cDypNGD.exe

Filesize
1.7MB

MD5
733b76b4feda603c7a597f5f29fabee8

SHA1
a8d7de34d8ef5db80de53bfbc6520194e3b6e845

SHA256
9db3544c0e24819127646f3a7a2ca2560e75d4c5ff530b9990275529a210e862

SHA512
84b73c02a4a3f781a7f154e53654b264ed95f3216ba392ae23f8524307e1a34638086c630339f38ccf20ca73334c4ec476034363ac19535a7b1e06dff074bb06

Download Submit
C:\Windows\System32\cksYZow.exe

Filesize
1.7MB

MD5
49aea4269431878ba145d5bc06fa97d8

SHA1
ae063743a4e3fa61c4e6287b4e1cf87fbf4b124c

SHA256
ef5a832940c463404f3a96f223fe615b93af151135be2ac6fcee2dee14dd1cb2

SHA512
bec533f80cd56d8b0263f6983d1a1c073c754e8cca89625d61c5312f29bc5ad42e3401bc99872b603c87e39dbaaeb58694f4ef491678cf871de90e49c4036c30

Download Submit
C:\Windows\System32\gydwsee.exe

Filesize
1.7MB

MD5
1c819b040facdfe22921c3f3f0b3dcda

SHA1
83f6a7e32031157bd341adcc08d729ba3586b991

SHA256
1417fe3f1db526bd9bcf6dcbb1d84c03924e8ee9c8e012ee57b25099ea60434a

SHA512
e190d188f12f5ed33926e3384253dc2d2ac395af6a8a902f5f67649d4c361d097f923f0f2d323d0e66b804745c2f473dd375fc3230a6100ac78304aa914c7c85

Download Submit
C:\Windows\System32\hDzmunk.exe

Filesize
1.7MB

MD5
1df8fca2c438f16237995e88c273473c

SHA1
067006802358bbbe16f6e8325e62b532a9b54cb7

SHA256
a061da3dd39bdfc26db5c4775d8ad87b3a2d23beffbebf44d16e7a71b0e1e61c

SHA512
29ebce2d7a05b13a63f0c7cd6d3959347a91f45a30671bf959b1b96c67e106f430040caf548bb2cded8302d05dcc5ce4d321159928ab89f094499343c8b7904f

Download Submit
C:\Windows\System32\hbxOFuD.exe

Filesize
1.7MB

MD5
4bb0751a442f5d24d1d03d23e098ed23

SHA1
9c65342f101e0c4df3dc36116d226779791923ba

SHA256
19a2324cad89fa1ab5d5d9be9b2c16153fcebbc79724d706037b44ec45fb434b

SHA512
9e9aa80b0bf1f151efab6ed37b16b2a00f69c828e301e2c5399b4234c1272d261841b259379f2534eaaa129b41143a132856f42f64723a8f1c2b07b2bef85904

Download Submit
C:\Windows\System32\hudjQOw.exe

Filesize
1.7MB

MD5
44f572012513b3da09f7357b9c4dbd4a

SHA1
01ea232f3117551b4b6093f1e3c0e008b47450d5

SHA256
45801d3a290829cdebb4abf3995e42b522bca3d3bae69aa4cb2e0e1264b60a38

SHA512
2464651fd8e67a164984baec6a95f827ef567c073839140107dcda263fc9507a89b6bb662ae6cf859011071daa32d6fce788b8b32308a611de5a89ea00ef029d

Download Submit
C:\Windows\System32\iHnGGAF.exe

Filesize
1.7MB

MD5
4f3fd4d3f11b57bd76a7690c1ffff834

SHA1
8e7860cebc67beae1b55762858a9f163bf3af304

SHA256
dd55bd14809f2aa9bde7f672c28c23a8cfd0bab68911e360c8bcea567b9d0110

SHA512
18eec0964eb6d406a33ca010d7c769bdc5615f34eddf2db1939726d7dafbaaa9930c99cc990dcf0a336433186a4e6a6eaadaf01c3a23c315c673f046568734bf

Download Submit
C:\Windows\System32\kZfComL.exe

Filesize
1.7MB

MD5
91635c9104588f0c0917b165927700d0

SHA1
b4767547f05ca940e1fb5716373b93f005bd790e

SHA256
4407d13dd898777560d545c650703ee3c69ae6fbd097a7278025cdf86fe9f99d

SHA512
8be375ee78e26bf88283afe7147b412669a9e14f561672f734cb1b7a3abd309e6574e7f1d65f1709f309a13f2a74545bf978dad4343ecb43e653d082aef0bba2

Download Submit
C:\Windows\System32\pILRYUp.exe

Filesize
1.7MB

MD5
e51f743ab00f7d6765dfb971bbe3f948

SHA1
bab3ab7aeebf28e8a3ff88c948de44941edcb027

SHA256
593910dfba8b435fd1cbf74ce33141d56f7ec3485fdfc1b76373958425d1f193

SHA512
b24157b3b4c7f05f1d2376c995c85927e19e425e72a34fa738f4795173169cbc95a0a1f532cea0611f3bc9adde3eecbec7df565e2ced99c4554aeff1091de57d

Download Submit
C:\Windows\System32\pzWprvY.exe

Filesize
1.7MB

MD5
1fcf7e68e618a47de5dfaed8963ce015

SHA1
9c52f1e8411dc9b36a9b0533dfbe9a017f9c1fd5

SHA256
120f8fb39561888ec36e8cbd11e618eba8512cf79a9057e84dc3fdb3f4de878d

SHA512
c14064f6364516c8066fe93874bdbc0fe40b957cb52a2a5fb9283f7ae16d21e0e82f44e357a5aefb75627f98b3fce5fd1d40261774cba8cf99ff94bc24c3de77

Download Submit
C:\Windows\System32\ssVcCBx.exe

Filesize
1.7MB

MD5
368167718b07dfd4e65c04b7b52f11f1

SHA1
2264c731a2c17e88eae79fce3c3078c3fa6aa7a8

SHA256
9a15200991549b86e7c963c0b11bcc19b5b5d963d38eae3d413ac73ecf29964f

SHA512
ab29dad34bedb6bb232288f30ebec5c154a7ebbbbb7bcbb1f2f4363969daaab49cd7561c4687dae3acab4d35796cee1045b2a8a91271ee174fbd6afde1646a7d

Download Submit
C:\Windows\System32\tYdrnpA.exe

Filesize
1.7MB

MD5
e86f84ca80edc66c9f7c20669f005de6

SHA1
e3add845298d93de006238f3cf701d1a2ad12f71

SHA256
62c9eec88bc9cbdb6554b2f35022cade66e634a63b5ceb6582066a1a3eebdd78

SHA512
ff8fc64089be8025cfccb7adc23c7f146c30e4af889ae2b0e019452b922ef47001745b509b08cfa822e1e532dc351a773713d4dea05064e95c287d32069762b5

Download Submit
C:\Windows\System32\ukXKejd.exe

Filesize
1.7MB

MD5
e7d682adfcf53b76ac0beb1ea364b3ac

SHA1
260c0cd1f94947e5dd0407f94fcc2bf38a276b7e

SHA256
13249830f92b13b2206fe5421d5cb673b1b219889ade1472e98297410a99dd3a

SHA512
44daf3a55a7afbbfd851b695825b5f8656be9e70923d64b79476b91ad5d2746f4da5fbf49c08663896854443dbd28bf1dbf86f0856a1374aaa30eeb298beb364

Download Submit
C:\Windows\System32\uqCqcyk.exe

Filesize
1.7MB

MD5
e3285fc45d975ebd862569d8d25802f7

SHA1
28007167ca6ee8283a66beb514e2f9ed85d3a21f

SHA256
9974f17e507759673f4b23627171ff0363cdac65593ab3e9c05196fec49173eb

SHA512
fa78c1895ea1a3d5a83a0105750bfeac717d1e4a89e8251c82d57702ba798038775dfff5f2147594fd3197edc9f0ca1acc5fbcc056255d3479f4cde731c57ced

Download Submit
C:\Windows\System32\wXAdDYW.exe

Filesize
1.7MB

MD5
f9cd1edaf2f34a4e0071e19d0b52a874

SHA1
a7c612d99a1406fb8810d0549d6ed4f9c1a6d280

SHA256
95157a11e3cd2a04ee3b542f645a3b8d428431cd926878a4b2202a8d0a01cf39

SHA512
55ac240fdb3eda5f21a150776b548fccfa5bf6572b33af464fc24e6c97d0e98a631ad34e44941cd5fcd18b82a72bc64f0f5e6180cd19318e3c27b99caa59a061

Download Submit
C:\Windows\System32\wbvLdbS.exe

Filesize
1.7MB

MD5
6b7b61ec7bdfb041babce52ef765becf

SHA1
a826985edc41fa267b50df293c963cf401f38d16

SHA256
141b03dc8a6daedf89b547c8d352811b9f376d0e6a77306b2321aac3cdc6f22a

SHA512
9f2b4568ba4a495ede26479ee983ef5fbfc6f2e4bd9dc47ac157b3925b5f04a048ff73746a366cb378e6990e7f47847284a9940974bc8c41ad5ee828371e731a

Download Submit
memory/448-2052-0x00007FF729B00000-0x00007FF729EF1000-memory.dmp

Filesize
3.9MB

Download
memory/448-476-0x00007FF729B00000-0x00007FF729EF1000-memory.dmp

Filesize
3.9MB

Download
memory/628-2027-0x00007FF7DF280000-0x00007FF7DF671000-memory.dmp

Filesize
3.9MB

Download
memory/628-439-0x00007FF7DF280000-0x00007FF7DF671000-memory.dmp

Filesize
3.9MB

Download
memory/1088-2045-0x00007FF7B6C60000-0x00007FF7B7051000-memory.dmp

Filesize
3.9MB

Download
memory/1088-459-0x00007FF7B6C60000-0x00007FF7B7051000-memory.dmp

Filesize
3.9MB

Download
memory/1704-0-0x00007FF7B9630000-0x00007FF7B9A21000-memory.dmp

Filesize
3.9MB

Download
memory/1704-1-0x0000024E9E260000-0x0000024E9E270000-memory.dmp

Filesize
64KB

Download
memory/1860-2054-0x00007FF796E00000-0x00007FF7971F1000-memory.dmp

Filesize
3.9MB

Download
memory/1860-479-0x00007FF796E00000-0x00007FF7971F1000-memory.dmp

Filesize
3.9MB

Download
memory/1896-8-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp

Filesize
3.9MB

Download
memory/1896-1986-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp

Filesize
3.9MB

Download
memory/1896-2009-0x00007FF67FE00000-0x00007FF6801F1000-memory.dmp

Filesize
3.9MB

Download
memory/2436-394-0x00007FF6E7550000-0x00007FF6E7941000-memory.dmp

Filesize
3.9MB

Download
memory/2436-2023-0x00007FF6E7550000-0x00007FF6E7941000-memory.dmp

Filesize
3.9MB

Download
memory/2528-408-0x00007FF7B5C30000-0x00007FF7B6021000-memory.dmp

Filesize
3.9MB

Download
memory/2528-2029-0x00007FF7B5C30000-0x00007FF7B6021000-memory.dmp

Filesize
3.9MB

Download
memory/2732-2025-0x00007FF6C9EE0000-0x00007FF6CA2D1000-memory.dmp

Filesize
3.9MB

Download
memory/2732-395-0x00007FF6C9EE0000-0x00007FF6CA2D1000-memory.dmp

Filesize
3.9MB

Download
memory/2764-419-0x00007FF6CE290000-0x00007FF6CE681000-memory.dmp

Filesize
3.9MB

Download
memory/2764-2032-0x00007FF6CE290000-0x00007FF6CE681000-memory.dmp

Filesize
3.9MB

Download
memory/2804-453-0x00007FF688BE0000-0x00007FF688FD1000-memory.dmp

Filesize
3.9MB

Download
memory/2804-2043-0x00007FF688BE0000-0x00007FF688FD1000-memory.dmp

Filesize
3.9MB

Download
memory/2832-391-0x00007FF74F350000-0x00007FF74F741000-memory.dmp

Filesize
3.9MB

Download
memory/2832-2015-0x00007FF74F350000-0x00007FF74F741000-memory.dmp

Filesize
3.9MB

Download
memory/2888-489-0x00007FF7B5750000-0x00007FF7B5B41000-memory.dmp

Filesize
3.9MB

Download
memory/2888-2013-0x00007FF7B5750000-0x00007FF7B5B41000-memory.dmp

Filesize
3.9MB

Download
memory/3112-392-0x00007FF648900000-0x00007FF648CF1000-memory.dmp

Filesize
3.9MB

Download
memory/3112-2019-0x00007FF648900000-0x00007FF648CF1000-memory.dmp

Filesize
3.9MB

Download
memory/3148-471-0x00007FF784A20000-0x00007FF784E11000-memory.dmp

Filesize
3.9MB

Download
memory/3148-2049-0x00007FF784A20000-0x00007FF784E11000-memory.dmp

Filesize
3.9MB

Download
memory/3256-469-0x00007FF781880000-0x00007FF781C71000-memory.dmp

Filesize
3.9MB

Download
memory/3256-2047-0x00007FF781880000-0x00007FF781C71000-memory.dmp

Filesize
3.9MB

Download
memory/3260-393-0x00007FF7E13B0000-0x00007FF7E17A1000-memory.dmp

Filesize
3.9MB

Download
memory/3260-2021-0x00007FF7E13B0000-0x00007FF7E17A1000-memory.dmp

Filesize
3.9MB

Download
memory/3380-2011-0x00007FF608460000-0x00007FF608851000-memory.dmp

Filesize
3.9MB

Download
memory/3380-23-0x00007FF608460000-0x00007FF608851000-memory.dmp

Filesize
3.9MB

Download
memory/3504-2017-0x00007FF637BE0000-0x00007FF637FD1000-memory.dmp

Filesize
3.9MB

Download
memory/3504-382-0x00007FF637BE0000-0x00007FF637FD1000-memory.dmp

Filesize
3.9MB

Download
memory/4060-2037-0x00007FF63BA30000-0x00007FF63BE21000-memory.dmp

Filesize
3.9MB

Download
memory/4060-436-0x00007FF63BA30000-0x00007FF63BE21000-memory.dmp

Filesize
3.9MB

Download
memory/4608-2035-0x00007FF69DDD0000-0x00007FF69E1C1000-memory.dmp

Filesize
3.9MB

Download
memory/4608-422-0x00007FF69DDD0000-0x00007FF69E1C1000-memory.dmp

Filesize
3.9MB

Download
memory/4688-2033-0x00007FF78F2E0000-0x00007FF78F6D1000-memory.dmp

Filesize
3.9MB

Download
memory/4688-427-0x00007FF78F2E0000-0x00007FF78F6D1000-memory.dmp

Filesize
3.9MB

Download
memory/4736-2041-0x00007FF7F5E60000-0x00007FF7F6251000-memory.dmp

Filesize
3.9MB

Download
memory/4736-443-0x00007FF7F5E60000-0x00007FF7F6251000-memory.dmp

Filesize
3.9MB

Download
memory/4896-484-0x00007FF671010000-0x00007FF671401000-memory.dmp

Filesize
3.9MB

Download
memory/4896-2056-0x00007FF671010000-0x00007FF671401000-memory.dmp

Filesize
3.9MB

Download
memory/5024-432-0x00007FF7B46B0000-0x00007FF7B4AA1000-memory.dmp

Filesize
3.9MB

Download
memory/5024-2039-0x00007FF7B46B0000-0x00007FF7B4AA1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads