xmrig | 55285f0021e1b540c06f4a1fbb6bcb75db434d1102273c56b2e4bf6758c6b958

Analysis

max time kernel
102s
max time network
109s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
24-07-2024 03:15

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

40ef36e713ce1ed04639bdf62a588390N.exe
Size

909KB
MD5

40ef36e713ce1ed04639bdf62a588390
SHA1

187e2cd8005370b398b7ce542ea914f05f05ac0e
SHA256

55285f0021e1b540c06f4a1fbb6bcb75db434d1102273c56b2e4bf6758c6b958
SHA512

58421b4491f9c30dd2759ff4af1bc3138fc65a5a360f16eedc50b17a8414fb4d0cb8fb06dcb1db18efbdfabc4b4455656fb5d9ebe98cf61b6a5143be362f2ccb
SSDEEP

12288:J5LnfEnwhTb2GlaekkIWQm/w2ONMXpGXXUAjeX/95ETPl3RMC711S9PaAdLXdgEG:JanwhSe11QSONCpGJCjETPlGC78XpYX

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/4840-44-0x00007FF6CCBE0000-0x00007FF6CCFD1000-memory.dmp	xmrig
behavioral2/memory/3184-45-0x00007FF6D2D60000-0x00007FF6D3151000-memory.dmp	xmrig
behavioral2/memory/3460-60-0x00007FF633350000-0x00007FF633741000-memory.dmp	xmrig
behavioral2/memory/3668-62-0x00007FF6DB3E0000-0x00007FF6DB7D1000-memory.dmp	xmrig
behavioral2/memory/1544-61-0x00007FF662A90000-0x00007FF662E81000-memory.dmp	xmrig
behavioral2/memory/4280-42-0x00007FF6016E0000-0x00007FF601AD1000-memory.dmp	xmrig
behavioral2/memory/4796-34-0x00007FF70DDC0000-0x00007FF70E1B1000-memory.dmp	xmrig
behavioral2/memory/5116-112-0x00007FF657690000-0x00007FF657A81000-memory.dmp	xmrig
behavioral2/memory/1188-273-0x00007FF7ED150000-0x00007FF7ED541000-memory.dmp	xmrig
behavioral2/memory/4300-107-0x00007FF7032F0000-0x00007FF7036E1000-memory.dmp	xmrig
behavioral2/memory/5028-275-0x00007FF798720000-0x00007FF798B11000-memory.dmp	xmrig
behavioral2/memory/4856-282-0x00007FF6F1B50000-0x00007FF6F1F41000-memory.dmp	xmrig
behavioral2/memory/184-283-0x00007FF626E60000-0x00007FF627251000-memory.dmp	xmrig
behavioral2/memory/3948-287-0x00007FF79F830000-0x00007FF79FC21000-memory.dmp	xmrig
behavioral2/memory/1556-299-0x00007FF656060000-0x00007FF656451000-memory.dmp	xmrig
behavioral2/memory/2028-301-0x00007FF6672A0000-0x00007FF667691000-memory.dmp	xmrig
behavioral2/memory/4872-302-0x00007FF627780000-0x00007FF627B71000-memory.dmp	xmrig
behavioral2/memory/1736-1952-0x00007FF794B80000-0x00007FF794F71000-memory.dmp	xmrig
behavioral2/memory/1200-1953-0x00007FF754440000-0x00007FF754831000-memory.dmp	xmrig
behavioral2/memory/4180-1986-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp	xmrig
behavioral2/memory/2000-1987-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp	xmrig
behavioral2/memory/756-1988-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp	xmrig
behavioral2/memory/4108-1990-0x00007FF778F90000-0x00007FF779381000-memory.dmp	xmrig
behavioral2/memory/2896-1994-0x00007FF7E01A0000-0x00007FF7E0591000-memory.dmp	xmrig
behavioral2/memory/4796-2006-0x00007FF70DDC0000-0x00007FF70E1B1000-memory.dmp	xmrig
behavioral2/memory/3232-2008-0x00007FF63A630000-0x00007FF63AA21000-memory.dmp	xmrig
behavioral2/memory/3184-2014-0x00007FF6D2D60000-0x00007FF6D3151000-memory.dmp	xmrig
behavioral2/memory/3668-2022-0x00007FF6DB3E0000-0x00007FF6DB7D1000-memory.dmp	xmrig
behavioral2/memory/1200-2024-0x00007FF754440000-0x00007FF754831000-memory.dmp	xmrig
behavioral2/memory/1544-2020-0x00007FF662A90000-0x00007FF662E81000-memory.dmp	xmrig
behavioral2/memory/4280-2018-0x00007FF6016E0000-0x00007FF601AD1000-memory.dmp	xmrig
behavioral2/memory/1736-2016-0x00007FF794B80000-0x00007FF794F71000-memory.dmp	xmrig
behavioral2/memory/4840-2012-0x00007FF6CCBE0000-0x00007FF6CCFD1000-memory.dmp	xmrig
behavioral2/memory/3460-2010-0x00007FF633350000-0x00007FF633741000-memory.dmp	xmrig
behavioral2/memory/4180-2026-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp	xmrig
behavioral2/memory/5116-2028-0x00007FF657690000-0x00007FF657A81000-memory.dmp	xmrig
behavioral2/memory/2000-2030-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp	xmrig
behavioral2/memory/2896-2032-0x00007FF7E01A0000-0x00007FF7E0591000-memory.dmp	xmrig
behavioral2/memory/756-2042-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp	xmrig
behavioral2/memory/1188-2044-0x00007FF7ED150000-0x00007FF7ED541000-memory.dmp	xmrig
behavioral2/memory/1556-2040-0x00007FF656060000-0x00007FF656451000-memory.dmp	xmrig
behavioral2/memory/2028-2038-0x00007FF6672A0000-0x00007FF667691000-memory.dmp	xmrig
behavioral2/memory/3948-2036-0x00007FF79F830000-0x00007FF79FC21000-memory.dmp	xmrig
behavioral2/memory/4300-2034-0x00007FF7032F0000-0x00007FF7036E1000-memory.dmp	xmrig
behavioral2/memory/5028-2052-0x00007FF798720000-0x00007FF798B11000-memory.dmp	xmrig
behavioral2/memory/4856-2057-0x00007FF6F1B50000-0x00007FF6F1F41000-memory.dmp	xmrig
behavioral2/memory/184-2073-0x00007FF626E60000-0x00007FF627251000-memory.dmp	xmrig
behavioral2/memory/4872-2046-0x00007FF627780000-0x00007FF627B71000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3232	skYOttz.exe
4796	LDrBnoz.exe
3460	FLDkIgp.exe
4280	nrzPlxN.exe
4840	uHSjGKv.exe
3184	dTtFGcj.exe
1544	tKihpqu.exe
1736	jgkAEQL.exe
3668	HjsFixO.exe
1200	xctjEYu.exe
4180	SQXqQpO.exe
2000	RSDaVpl.exe
2896	olJxIxr.exe
4300	FBckVom.exe
5116	IOPKdQA.exe
3948	vqtVNyn.exe
1556	GaIsZjK.exe
2028	jMZpFsp.exe
756	DemMGhI.exe
4872	eYDhHrP.exe
1188	ALASgKY.exe
5028	NkTcoSi.exe
4856	dQsXSen.exe
184	VunyjXY.exe
1156	WzjboKv.exe
3740	eOkvesq.exe
2072	BIEObSk.exe
1476	eBRaIsd.exe
4144	GrSsplE.exe
2388	cwKyTdn.exe
4780	PmavUvc.exe
1848	mxcvFhS.exe
3472	frabVaR.exe
5072	SKqDgAY.exe
4824	DigNxwp.exe
3872	IKkTrRz.exe
4536	hNCmeWY.exe
4076	HumGdwE.exe
1344	qjJpsbJ.exe
1828	DscMLGD.exe
3404	cUfQtzl.exe
3208	zytLNrI.exe
1380	wcfzApS.exe
4828	wEEsCZG.exe
2696	QTMOgvI.exe
5064	vlULxnd.exe
4576	MHNSLjF.exe
3432	zgEqRRo.exe
4928	GagkakF.exe
2024	iyJgDnk.exe
2832	bOeTSpZ.exe
3712	uFclHXU.exe
4156	KxaZTgV.exe
536	IUHUgpo.exe
4216	tpYPlrG.exe
3012	afbbofX.exe
2956	EbaExdT.exe
4444	OPpytcx.exe
1684	FeliKYr.exe
2880	brGOrKz.exe
4876	XwKWbCE.exe
2612	NGvZPgR.exe
2532	FjvAqVH.exe
5056	WSOANqY.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4108-0-0x00007FF778F90000-0x00007FF779381000-memory.dmp	upx
behavioral2/files/0x00070000000234de-8.dat	upx
behavioral2/files/0x00080000000234da-15.dat	upx
behavioral2/files/0x00070000000234e2-26.dat	upx
behavioral2/files/0x00070000000234e0-30.dat	upx
behavioral2/files/0x00070000000234e4-41.dat	upx
behavioral2/memory/4840-44-0x00007FF6CCBE0000-0x00007FF6CCFD1000-memory.dmp	upx
behavioral2/memory/3184-45-0x00007FF6D2D60000-0x00007FF6D3151000-memory.dmp	upx
behavioral2/files/0x00070000000234e6-57.dat	upx
behavioral2/memory/3460-60-0x00007FF633350000-0x00007FF633741000-memory.dmp	upx
behavioral2/memory/3668-62-0x00007FF6DB3E0000-0x00007FF6DB7D1000-memory.dmp	upx
behavioral2/memory/1544-61-0x00007FF662A90000-0x00007FF662E81000-memory.dmp	upx
behavioral2/memory/1200-59-0x00007FF754440000-0x00007FF754831000-memory.dmp	upx
behavioral2/memory/1736-55-0x00007FF794B80000-0x00007FF794F71000-memory.dmp	upx
behavioral2/files/0x00070000000234e5-54.dat	upx
behavioral2/files/0x00070000000234e3-52.dat	upx
behavioral2/memory/4280-42-0x00007FF6016E0000-0x00007FF601AD1000-memory.dmp	upx
behavioral2/files/0x00070000000234e1-37.dat	upx
behavioral2/memory/4796-34-0x00007FF70DDC0000-0x00007FF70E1B1000-memory.dmp	upx
behavioral2/files/0x00070000000234df-24.dat	upx
behavioral2/memory/3232-20-0x00007FF63A630000-0x00007FF63AA21000-memory.dmp	upx
behavioral2/files/0x00070000000234e7-65.dat	upx
behavioral2/files/0x00070000000234e9-76.dat	upx
behavioral2/files/0x00080000000234db-75.dat	upx
behavioral2/files/0x00070000000234eb-80.dat	upx
behavioral2/files/0x00070000000234ee-100.dat	upx
behavioral2/memory/5116-112-0x00007FF657690000-0x00007FF657A81000-memory.dmp	upx
behavioral2/files/0x00070000000234f0-114.dat	upx
behavioral2/files/0x00070000000234f2-127.dat	upx
behavioral2/files/0x00070000000234f5-145.dat	upx
behavioral2/files/0x00070000000234f9-165.dat	upx
behavioral2/files/0x00070000000234fb-175.dat	upx
behavioral2/files/0x00070000000234fd-178.dat	upx
behavioral2/files/0x00070000000234fc-173.dat	upx
behavioral2/files/0x00070000000234fa-170.dat	upx
behavioral2/files/0x00070000000234f8-160.dat	upx
behavioral2/memory/1188-273-0x00007FF7ED150000-0x00007FF7ED541000-memory.dmp	upx
behavioral2/files/0x00070000000234f7-155.dat	upx
behavioral2/files/0x00070000000234f6-150.dat	upx
behavioral2/files/0x00070000000234f4-140.dat	upx
behavioral2/files/0x00070000000234f3-133.dat	upx
behavioral2/files/0x00070000000234f1-122.dat	upx
behavioral2/memory/756-117-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp	upx
behavioral2/files/0x00070000000234ef-113.dat	upx
behavioral2/memory/4300-107-0x00007FF7032F0000-0x00007FF7036E1000-memory.dmp	upx
behavioral2/memory/5028-275-0x00007FF798720000-0x00007FF798B11000-memory.dmp	upx
behavioral2/memory/4856-282-0x00007FF6F1B50000-0x00007FF6F1F41000-memory.dmp	upx
behavioral2/memory/184-283-0x00007FF626E60000-0x00007FF627251000-memory.dmp	upx
behavioral2/memory/3948-287-0x00007FF79F830000-0x00007FF79FC21000-memory.dmp	upx
behavioral2/files/0x00070000000234ed-103.dat	upx
behavioral2/files/0x00070000000234ec-102.dat	upx
behavioral2/memory/2896-99-0x00007FF7E01A0000-0x00007FF7E0591000-memory.dmp	upx
behavioral2/memory/2000-93-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp	upx
behavioral2/files/0x00070000000234ea-91.dat	upx
behavioral2/memory/4180-73-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp	upx
behavioral2/memory/1556-299-0x00007FF656060000-0x00007FF656451000-memory.dmp	upx
behavioral2/memory/2028-301-0x00007FF6672A0000-0x00007FF667691000-memory.dmp	upx
behavioral2/memory/4872-302-0x00007FF627780000-0x00007FF627B71000-memory.dmp	upx
behavioral2/memory/1736-1952-0x00007FF794B80000-0x00007FF794F71000-memory.dmp	upx
behavioral2/memory/1200-1953-0x00007FF754440000-0x00007FF754831000-memory.dmp	upx
behavioral2/memory/4180-1986-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp	upx
behavioral2/memory/2000-1987-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp	upx
behavioral2/memory/756-1988-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp	upx
behavioral2/memory/4108-1990-0x00007FF778F90000-0x00007FF779381000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\kEgaHFV.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\saZCJUs.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\TraMZkJ.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\afbbofX.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\VwJfEtV.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\TYJspCF.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\dQsXSen.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\tpYPlrG.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\HrEYmiT.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\IHZfjwY.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\ikoPsSo.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\WONJsgY.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\qtDkyol.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\RBIsPPi.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\PHgeqzU.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\dbIlBYx.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\ETYVlfG.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\MbQuemV.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\wsqBHZH.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\KRlrNfL.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\FIZleVL.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\kYVpnNy.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\tsSButt.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\CANnicg.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\JMTrnCk.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\AMjmyXA.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\jXaOsLV.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\xxENAnD.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\NDFpDGO.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\PStolSj.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\ajUFIca.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\cpDnxCy.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\Smsmouo.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\KrZAtmi.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\UlDLpdu.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\FJpgRik.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\VuPPKdH.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\AusiHMk.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\DhGZZTQ.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\yQEGQTm.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\TynNDTF.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\ysgmiiH.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\ERTReqi.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\eZnaSKj.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\rpUNFBF.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\fYAYbEd.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\XcTuCoq.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\jjEkoxH.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\mCUBgLr.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\cUfQtzl.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\zcQqqGA.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\aTyycnz.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\YJyXZtg.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\OkUEDiR.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\FihrJfN.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\sUgSRMg.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\YYOJScD.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\LAzSaKA.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\yKIyHaH.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\tDVCuJL.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\kIGEpRv.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\IqapSjw.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\zFiBGIE.exe	40ef36e713ce1ed04639bdf62a588390N.exe
File created	C:\Windows\System32\qrqEQJO.exe	40ef36e713ce1ed04639bdf62a588390N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13080	dwm.exe
Token: SeChangeNotifyPrivilege	13080	dwm.exe
Token: 33	13080	dwm.exe
Token: SeIncBasePriorityPrivilege	13080	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4108 wrote to memory of 3232	4108	40ef36e713ce1ed04639bdf62a588390N.exe	85
PID 4108 wrote to memory of 3232	4108	40ef36e713ce1ed04639bdf62a588390N.exe	85
PID 4108 wrote to memory of 4796	4108	40ef36e713ce1ed04639bdf62a588390N.exe	86
PID 4108 wrote to memory of 4796	4108	40ef36e713ce1ed04639bdf62a588390N.exe	86
PID 4108 wrote to memory of 3460	4108	40ef36e713ce1ed04639bdf62a588390N.exe	87
PID 4108 wrote to memory of 3460	4108	40ef36e713ce1ed04639bdf62a588390N.exe	87
PID 4108 wrote to memory of 4280	4108	40ef36e713ce1ed04639bdf62a588390N.exe	88
PID 4108 wrote to memory of 4280	4108	40ef36e713ce1ed04639bdf62a588390N.exe	88
PID 4108 wrote to memory of 4840	4108	40ef36e713ce1ed04639bdf62a588390N.exe	89
PID 4108 wrote to memory of 4840	4108	40ef36e713ce1ed04639bdf62a588390N.exe	89
PID 4108 wrote to memory of 3184	4108	40ef36e713ce1ed04639bdf62a588390N.exe	90
PID 4108 wrote to memory of 3184	4108	40ef36e713ce1ed04639bdf62a588390N.exe	90
PID 4108 wrote to memory of 1544	4108	40ef36e713ce1ed04639bdf62a588390N.exe	91
PID 4108 wrote to memory of 1544	4108	40ef36e713ce1ed04639bdf62a588390N.exe	91
PID 4108 wrote to memory of 1736	4108	40ef36e713ce1ed04639bdf62a588390N.exe	92
PID 4108 wrote to memory of 1736	4108	40ef36e713ce1ed04639bdf62a588390N.exe	92
PID 4108 wrote to memory of 3668	4108	40ef36e713ce1ed04639bdf62a588390N.exe	93
PID 4108 wrote to memory of 3668	4108	40ef36e713ce1ed04639bdf62a588390N.exe	93
PID 4108 wrote to memory of 1200	4108	40ef36e713ce1ed04639bdf62a588390N.exe	94
PID 4108 wrote to memory of 1200	4108	40ef36e713ce1ed04639bdf62a588390N.exe	94
PID 4108 wrote to memory of 4180	4108	40ef36e713ce1ed04639bdf62a588390N.exe	95
PID 4108 wrote to memory of 4180	4108	40ef36e713ce1ed04639bdf62a588390N.exe	95
PID 4108 wrote to memory of 2000	4108	40ef36e713ce1ed04639bdf62a588390N.exe	96
PID 4108 wrote to memory of 2000	4108	40ef36e713ce1ed04639bdf62a588390N.exe	96
PID 4108 wrote to memory of 2896	4108	40ef36e713ce1ed04639bdf62a588390N.exe	97
PID 4108 wrote to memory of 2896	4108	40ef36e713ce1ed04639bdf62a588390N.exe	97
PID 4108 wrote to memory of 4300	4108	40ef36e713ce1ed04639bdf62a588390N.exe	98
PID 4108 wrote to memory of 4300	4108	40ef36e713ce1ed04639bdf62a588390N.exe	98
PID 4108 wrote to memory of 5116	4108	40ef36e713ce1ed04639bdf62a588390N.exe	99
PID 4108 wrote to memory of 5116	4108	40ef36e713ce1ed04639bdf62a588390N.exe	99
PID 4108 wrote to memory of 3948	4108	40ef36e713ce1ed04639bdf62a588390N.exe	100
PID 4108 wrote to memory of 3948	4108	40ef36e713ce1ed04639bdf62a588390N.exe	100
PID 4108 wrote to memory of 1556	4108	40ef36e713ce1ed04639bdf62a588390N.exe	101
PID 4108 wrote to memory of 1556	4108	40ef36e713ce1ed04639bdf62a588390N.exe	101
PID 4108 wrote to memory of 2028	4108	40ef36e713ce1ed04639bdf62a588390N.exe	102
PID 4108 wrote to memory of 2028	4108	40ef36e713ce1ed04639bdf62a588390N.exe	102
PID 4108 wrote to memory of 756	4108	40ef36e713ce1ed04639bdf62a588390N.exe	103
PID 4108 wrote to memory of 756	4108	40ef36e713ce1ed04639bdf62a588390N.exe	103
PID 4108 wrote to memory of 4872	4108	40ef36e713ce1ed04639bdf62a588390N.exe	104
PID 4108 wrote to memory of 4872	4108	40ef36e713ce1ed04639bdf62a588390N.exe	104
PID 4108 wrote to memory of 1188	4108	40ef36e713ce1ed04639bdf62a588390N.exe	106
PID 4108 wrote to memory of 1188	4108	40ef36e713ce1ed04639bdf62a588390N.exe	106
PID 4108 wrote to memory of 5028	4108	40ef36e713ce1ed04639bdf62a588390N.exe	107
PID 4108 wrote to memory of 5028	4108	40ef36e713ce1ed04639bdf62a588390N.exe	107
PID 4108 wrote to memory of 4856	4108	40ef36e713ce1ed04639bdf62a588390N.exe	108
PID 4108 wrote to memory of 4856	4108	40ef36e713ce1ed04639bdf62a588390N.exe	108
PID 4108 wrote to memory of 184	4108	40ef36e713ce1ed04639bdf62a588390N.exe	109
PID 4108 wrote to memory of 184	4108	40ef36e713ce1ed04639bdf62a588390N.exe	109
PID 4108 wrote to memory of 1156	4108	40ef36e713ce1ed04639bdf62a588390N.exe	110
PID 4108 wrote to memory of 1156	4108	40ef36e713ce1ed04639bdf62a588390N.exe	110
PID 4108 wrote to memory of 3740	4108	40ef36e713ce1ed04639bdf62a588390N.exe	111
PID 4108 wrote to memory of 3740	4108	40ef36e713ce1ed04639bdf62a588390N.exe	111
PID 4108 wrote to memory of 2072	4108	40ef36e713ce1ed04639bdf62a588390N.exe	112
PID 4108 wrote to memory of 2072	4108	40ef36e713ce1ed04639bdf62a588390N.exe	112
PID 4108 wrote to memory of 1476	4108	40ef36e713ce1ed04639bdf62a588390N.exe	113
PID 4108 wrote to memory of 1476	4108	40ef36e713ce1ed04639bdf62a588390N.exe	113
PID 4108 wrote to memory of 4144	4108	40ef36e713ce1ed04639bdf62a588390N.exe	114
PID 4108 wrote to memory of 4144	4108	40ef36e713ce1ed04639bdf62a588390N.exe	114
PID 4108 wrote to memory of 2388	4108	40ef36e713ce1ed04639bdf62a588390N.exe	115
PID 4108 wrote to memory of 2388	4108	40ef36e713ce1ed04639bdf62a588390N.exe	115
PID 4108 wrote to memory of 4780	4108	40ef36e713ce1ed04639bdf62a588390N.exe	116
PID 4108 wrote to memory of 4780	4108	40ef36e713ce1ed04639bdf62a588390N.exe	116
PID 4108 wrote to memory of 1848	4108	40ef36e713ce1ed04639bdf62a588390N.exe	117
PID 4108 wrote to memory of 1848	4108	40ef36e713ce1ed04639bdf62a588390N.exe	117

C:\Users\Admin\AppData\Local\Temp\40ef36e713ce1ed04639bdf62a588390N.exe
"C:\Users\Admin\AppData\Local\Temp\40ef36e713ce1ed04639bdf62a588390N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4108
- C:\Windows\System32\skYOttz.exe
  C:\Windows\System32\skYOttz.exe
  2⤵
  - Executes dropped EXE
  PID:3232
- C:\Windows\System32\LDrBnoz.exe
  C:\Windows\System32\LDrBnoz.exe
  2⤵
  - Executes dropped EXE
  PID:4796
- C:\Windows\System32\FLDkIgp.exe
  C:\Windows\System32\FLDkIgp.exe
  2⤵
  - Executes dropped EXE
  PID:3460
- C:\Windows\System32\nrzPlxN.exe
  C:\Windows\System32\nrzPlxN.exe
  2⤵
  - Executes dropped EXE
  PID:4280
- C:\Windows\System32\uHSjGKv.exe
  C:\Windows\System32\uHSjGKv.exe
  2⤵
  - Executes dropped EXE
  PID:4840
- C:\Windows\System32\dTtFGcj.exe
  C:\Windows\System32\dTtFGcj.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\tKihpqu.exe
  C:\Windows\System32\tKihpqu.exe
  2⤵
  - Executes dropped EXE
  PID:1544
- C:\Windows\System32\jgkAEQL.exe
  C:\Windows\System32\jgkAEQL.exe
  2⤵
  - Executes dropped EXE
  PID:1736
- C:\Windows\System32\HjsFixO.exe
  C:\Windows\System32\HjsFixO.exe
  2⤵
  - Executes dropped EXE
  PID:3668
- C:\Windows\System32\xctjEYu.exe
  C:\Windows\System32\xctjEYu.exe
  2⤵
  - Executes dropped EXE
  PID:1200
- C:\Windows\System32\SQXqQpO.exe
  C:\Windows\System32\SQXqQpO.exe
  2⤵
  - Executes dropped EXE
  PID:4180
- C:\Windows\System32\RSDaVpl.exe
  C:\Windows\System32\RSDaVpl.exe
  2⤵
  - Executes dropped EXE
  PID:2000
- C:\Windows\System32\olJxIxr.exe
  C:\Windows\System32\olJxIxr.exe
  2⤵
  - Executes dropped EXE
  PID:2896
- C:\Windows\System32\FBckVom.exe
  C:\Windows\System32\FBckVom.exe
  2⤵
  - Executes dropped EXE
  PID:4300
- C:\Windows\System32\IOPKdQA.exe
  C:\Windows\System32\IOPKdQA.exe
  2⤵
  - Executes dropped EXE
  PID:5116
- C:\Windows\System32\vqtVNyn.exe
  C:\Windows\System32\vqtVNyn.exe
  2⤵
  - Executes dropped EXE
  PID:3948
- C:\Windows\System32\GaIsZjK.exe
  C:\Windows\System32\GaIsZjK.exe
  2⤵
  - Executes dropped EXE
  PID:1556
- C:\Windows\System32\jMZpFsp.exe
  C:\Windows\System32\jMZpFsp.exe
  2⤵
  - Executes dropped EXE
  PID:2028
- C:\Windows\System32\DemMGhI.exe
  C:\Windows\System32\DemMGhI.exe
  2⤵
  - Executes dropped EXE
  PID:756
- C:\Windows\System32\eYDhHrP.exe
  C:\Windows\System32\eYDhHrP.exe
  2⤵
  - Executes dropped EXE
  PID:4872
- C:\Windows\System32\ALASgKY.exe
  C:\Windows\System32\ALASgKY.exe
  2⤵
  - Executes dropped EXE
  PID:1188
- C:\Windows\System32\NkTcoSi.exe
  C:\Windows\System32\NkTcoSi.exe
  2⤵
  - Executes dropped EXE
  PID:5028
- C:\Windows\System32\dQsXSen.exe
  C:\Windows\System32\dQsXSen.exe
  2⤵
  - Executes dropped EXE
  PID:4856
- C:\Windows\System32\VunyjXY.exe
  C:\Windows\System32\VunyjXY.exe
  2⤵
  - Executes dropped EXE
  PID:184
- C:\Windows\System32\WzjboKv.exe
  C:\Windows\System32\WzjboKv.exe
  2⤵
  - Executes dropped EXE
  PID:1156
- C:\Windows\System32\eOkvesq.exe
  C:\Windows\System32\eOkvesq.exe
  2⤵
  - Executes dropped EXE
  PID:3740
- C:\Windows\System32\BIEObSk.exe
  C:\Windows\System32\BIEObSk.exe
  2⤵
  - Executes dropped EXE
  PID:2072
- C:\Windows\System32\eBRaIsd.exe
  C:\Windows\System32\eBRaIsd.exe
  2⤵
  - Executes dropped EXE
  PID:1476
- C:\Windows\System32\GrSsplE.exe
  C:\Windows\System32\GrSsplE.exe
  2⤵
  - Executes dropped EXE
  PID:4144
- C:\Windows\System32\cwKyTdn.exe
  C:\Windows\System32\cwKyTdn.exe
  2⤵
  - Executes dropped EXE
  PID:2388
- C:\Windows\System32\PmavUvc.exe
  C:\Windows\System32\PmavUvc.exe
  2⤵
  - Executes dropped EXE
  PID:4780
- C:\Windows\System32\mxcvFhS.exe
  C:\Windows\System32\mxcvFhS.exe
  2⤵
  - Executes dropped EXE
  PID:1848
- C:\Windows\System32\frabVaR.exe
  C:\Windows\System32\frabVaR.exe
  2⤵
  - Executes dropped EXE
  PID:3472
- C:\Windows\System32\SKqDgAY.exe
  C:\Windows\System32\SKqDgAY.exe
  2⤵
  - Executes dropped EXE
  PID:5072
- C:\Windows\System32\DigNxwp.exe
  C:\Windows\System32\DigNxwp.exe
  2⤵
  - Executes dropped EXE
  PID:4824
- C:\Windows\System32\IKkTrRz.exe
  C:\Windows\System32\IKkTrRz.exe
  2⤵
  - Executes dropped EXE
  PID:3872
- C:\Windows\System32\hNCmeWY.exe
  C:\Windows\System32\hNCmeWY.exe
  2⤵
  - Executes dropped EXE
  PID:4536
- C:\Windows\System32\HumGdwE.exe
  C:\Windows\System32\HumGdwE.exe
  2⤵
  - Executes dropped EXE
  PID:4076
- C:\Windows\System32\qjJpsbJ.exe
  C:\Windows\System32\qjJpsbJ.exe
  2⤵
  - Executes dropped EXE
  PID:1344
- C:\Windows\System32\DscMLGD.exe
  C:\Windows\System32\DscMLGD.exe
  2⤵
  - Executes dropped EXE
  PID:1828
- C:\Windows\System32\cUfQtzl.exe
  C:\Windows\System32\cUfQtzl.exe
  2⤵
  - Executes dropped EXE
  PID:3404
- C:\Windows\System32\zytLNrI.exe
  C:\Windows\System32\zytLNrI.exe
  2⤵
  - Executes dropped EXE
  PID:3208
- C:\Windows\System32\wcfzApS.exe
  C:\Windows\System32\wcfzApS.exe
  2⤵
  - Executes dropped EXE
  PID:1380
- C:\Windows\System32\wEEsCZG.exe
  C:\Windows\System32\wEEsCZG.exe
  2⤵
  - Executes dropped EXE
  PID:4828
- C:\Windows\System32\QTMOgvI.exe
  C:\Windows\System32\QTMOgvI.exe
  2⤵
  - Executes dropped EXE
  PID:2696
- C:\Windows\System32\vlULxnd.exe
  C:\Windows\System32\vlULxnd.exe
  2⤵
  - Executes dropped EXE
  PID:5064
- C:\Windows\System32\MHNSLjF.exe
  C:\Windows\System32\MHNSLjF.exe
  2⤵
  - Executes dropped EXE
  PID:4576
- C:\Windows\System32\zgEqRRo.exe
  C:\Windows\System32\zgEqRRo.exe
  2⤵
  - Executes dropped EXE
  PID:3432
- C:\Windows\System32\GagkakF.exe
  C:\Windows\System32\GagkakF.exe
  2⤵
  - Executes dropped EXE
  PID:4928
- C:\Windows\System32\iyJgDnk.exe
  C:\Windows\System32\iyJgDnk.exe
  2⤵
  - Executes dropped EXE
  PID:2024
- C:\Windows\System32\bOeTSpZ.exe
  C:\Windows\System32\bOeTSpZ.exe
  2⤵
  - Executes dropped EXE
  PID:2832
- C:\Windows\System32\uFclHXU.exe
  C:\Windows\System32\uFclHXU.exe
  2⤵
  - Executes dropped EXE
  PID:3712
- C:\Windows\System32\KxaZTgV.exe
  C:\Windows\System32\KxaZTgV.exe
  2⤵
  - Executes dropped EXE
  PID:4156
- C:\Windows\System32\IUHUgpo.exe
  C:\Windows\System32\IUHUgpo.exe
  2⤵
  - Executes dropped EXE
  PID:536
- C:\Windows\System32\tpYPlrG.exe
  C:\Windows\System32\tpYPlrG.exe
  2⤵
  - Executes dropped EXE
  PID:4216
- C:\Windows\System32\afbbofX.exe
  C:\Windows\System32\afbbofX.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\EbaExdT.exe
  C:\Windows\System32\EbaExdT.exe
  2⤵
  - Executes dropped EXE
  PID:2956
- C:\Windows\System32\OPpytcx.exe
  C:\Windows\System32\OPpytcx.exe
  2⤵
  - Executes dropped EXE
  PID:4444
- C:\Windows\System32\FeliKYr.exe
  C:\Windows\System32\FeliKYr.exe
  2⤵
  - Executes dropped EXE
  PID:1684
- C:\Windows\System32\brGOrKz.exe
  C:\Windows\System32\brGOrKz.exe
  2⤵
  - Executes dropped EXE
  PID:2880
- C:\Windows\System32\XwKWbCE.exe
  C:\Windows\System32\XwKWbCE.exe
  2⤵
  - Executes dropped EXE
  PID:4876
- C:\Windows\System32\NGvZPgR.exe
  C:\Windows\System32\NGvZPgR.exe
  2⤵
  - Executes dropped EXE
  PID:2612
- C:\Windows\System32\FjvAqVH.exe
  C:\Windows\System32\FjvAqVH.exe
  2⤵
  - Executes dropped EXE
  PID:2532
- C:\Windows\System32\WSOANqY.exe
  C:\Windows\System32\WSOANqY.exe
  2⤵
  - Executes dropped EXE
  PID:5056
- C:\Windows\System32\pYKkgcm.exe
  C:\Windows\System32\pYKkgcm.exe
  2⤵
  PID:2296
- C:\Windows\System32\wJAYBqo.exe
  C:\Windows\System32\wJAYBqo.exe
  2⤵
  PID:3496
- C:\Windows\System32\NtgQOfx.exe
  C:\Windows\System32\NtgQOfx.exe
  2⤵
  PID:3604
- C:\Windows\System32\VwJfEtV.exe
  C:\Windows\System32\VwJfEtV.exe
  2⤵
  PID:2860
- C:\Windows\System32\PHgeqzU.exe
  C:\Windows\System32\PHgeqzU.exe
  2⤵
  PID:1644
- C:\Windows\System32\hbSjPLA.exe
  C:\Windows\System32\hbSjPLA.exe
  2⤵
  PID:4932
- C:\Windows\System32\lFxQSfC.exe
  C:\Windows\System32\lFxQSfC.exe
  2⤵
  PID:4520
- C:\Windows\System32\UfMQdBR.exe
  C:\Windows\System32\UfMQdBR.exe
  2⤵
  PID:1144
- C:\Windows\System32\lUrUymY.exe
  C:\Windows\System32\lUrUymY.exe
  2⤵
  PID:4332
- C:\Windows\System32\apxukJH.exe
  C:\Windows\System32\apxukJH.exe
  2⤵
  PID:1608
- C:\Windows\System32\CqdKETJ.exe
  C:\Windows\System32\CqdKETJ.exe
  2⤵
  PID:4980
- C:\Windows\System32\BkPRTIl.exe
  C:\Windows\System32\BkPRTIl.exe
  2⤵
  PID:404
- C:\Windows\System32\PEaGSnB.exe
  C:\Windows\System32\PEaGSnB.exe
  2⤵
  PID:768
- C:\Windows\System32\dVELOPQ.exe
  C:\Windows\System32\dVELOPQ.exe
  2⤵
  PID:4512
- C:\Windows\System32\CswliIo.exe
  C:\Windows\System32\CswliIo.exe
  2⤵
  PID:4268
- C:\Windows\System32\BTjeLTR.exe
  C:\Windows\System32\BTjeLTR.exe
  2⤵
  PID:5040
- C:\Windows\System32\HZqalUh.exe
  C:\Windows\System32\HZqalUh.exe
  2⤵
  PID:1620
- C:\Windows\System32\ILKMQqq.exe
  C:\Windows\System32\ILKMQqq.exe
  2⤵
  PID:1012
- C:\Windows\System32\yjWqoqv.exe
  C:\Windows\System32\yjWqoqv.exe
  2⤵
  PID:852
- C:\Windows\System32\bOrgoNB.exe
  C:\Windows\System32\bOrgoNB.exe
  2⤵
  PID:1068
- C:\Windows\System32\dspYURY.exe
  C:\Windows\System32\dspYURY.exe
  2⤵
  PID:824
- C:\Windows\System32\ZbwSpyn.exe
  C:\Windows\System32\ZbwSpyn.exe
  2⤵
  PID:3592
- C:\Windows\System32\hSQkRZE.exe
  C:\Windows\System32\hSQkRZE.exe
  2⤵
  PID:4532
- C:\Windows\System32\LLfKtLi.exe
  C:\Windows\System32\LLfKtLi.exe
  2⤵
  PID:180
- C:\Windows\System32\OAzVyQK.exe
  C:\Windows\System32\OAzVyQK.exe
  2⤵
  PID:3896
- C:\Windows\System32\KaBrcOy.exe
  C:\Windows\System32\KaBrcOy.exe
  2⤵
  PID:4936
- C:\Windows\System32\LAzSaKA.exe
  C:\Windows\System32\LAzSaKA.exe
  2⤵
  PID:4572
- C:\Windows\System32\IvCnjxC.exe
  C:\Windows\System32\IvCnjxC.exe
  2⤵
  PID:2676
- C:\Windows\System32\ajUFIca.exe
  C:\Windows\System32\ajUFIca.exe
  2⤵
  PID:4044
- C:\Windows\System32\RlubROO.exe
  C:\Windows\System32\RlubROO.exe
  2⤵
  PID:4864
- C:\Windows\System32\aSAsxkJ.exe
  C:\Windows\System32\aSAsxkJ.exe
  2⤵
  PID:4656
- C:\Windows\System32\ErWacFs.exe
  C:\Windows\System32\ErWacFs.exe
  2⤵
  PID:4560
- C:\Windows\System32\TiewsvK.exe
  C:\Windows\System32\TiewsvK.exe
  2⤵
  PID:3152
- C:\Windows\System32\uMdELTU.exe
  C:\Windows\System32\uMdELTU.exe
  2⤵
  PID:4420
- C:\Windows\System32\gAseIhQ.exe
  C:\Windows\System32\gAseIhQ.exe
  2⤵
  PID:2468
- C:\Windows\System32\tTgMpFp.exe
  C:\Windows\System32\tTgMpFp.exe
  2⤵
  PID:2828
- C:\Windows\System32\EkkIluS.exe
  C:\Windows\System32\EkkIluS.exe
  2⤵
  PID:2624
- C:\Windows\System32\uSIAEvG.exe
  C:\Windows\System32\uSIAEvG.exe
  2⤵
  PID:5160
- C:\Windows\System32\ODXGXyF.exe
  C:\Windows\System32\ODXGXyF.exe
  2⤵
  PID:5184
- C:\Windows\System32\IIONRwU.exe
  C:\Windows\System32\IIONRwU.exe
  2⤵
  PID:5216
- C:\Windows\System32\ffSyDOD.exe
  C:\Windows\System32\ffSyDOD.exe
  2⤵
  PID:5244
- C:\Windows\System32\nmZNTEz.exe
  C:\Windows\System32\nmZNTEz.exe
  2⤵
  PID:5280
- C:\Windows\System32\SUpOsfq.exe
  C:\Windows\System32\SUpOsfq.exe
  2⤵
  PID:5300
- C:\Windows\System32\xUoZize.exe
  C:\Windows\System32\xUoZize.exe
  2⤵
  PID:5328
- C:\Windows\System32\TynNDTF.exe
  C:\Windows\System32\TynNDTF.exe
  2⤵
  PID:5348
- C:\Windows\System32\fnLALAH.exe
  C:\Windows\System32\fnLALAH.exe
  2⤵
  PID:5364
- C:\Windows\System32\tEgGfzA.exe
  C:\Windows\System32\tEgGfzA.exe
  2⤵
  PID:5392
- C:\Windows\System32\jXySiCn.exe
  C:\Windows\System32\jXySiCn.exe
  2⤵
  PID:5408
- C:\Windows\System32\ysgmiiH.exe
  C:\Windows\System32\ysgmiiH.exe
  2⤵
  PID:5428
- C:\Windows\System32\slAlvJt.exe
  C:\Windows\System32\slAlvJt.exe
  2⤵
  PID:5448
- C:\Windows\System32\rLzNkUn.exe
  C:\Windows\System32\rLzNkUn.exe
  2⤵
  PID:5496
- C:\Windows\System32\RDutMKj.exe
  C:\Windows\System32\RDutMKj.exe
  2⤵
  PID:5516
- C:\Windows\System32\lwfOeTP.exe
  C:\Windows\System32\lwfOeTP.exe
  2⤵
  PID:5544
- C:\Windows\System32\LqVnRuH.exe
  C:\Windows\System32\LqVnRuH.exe
  2⤵
  PID:5568
- C:\Windows\System32\KBPmWMH.exe
  C:\Windows\System32\KBPmWMH.exe
  2⤵
  PID:5608
- C:\Windows\System32\VMBPLRR.exe
  C:\Windows\System32\VMBPLRR.exe
  2⤵
  PID:5628
- C:\Windows\System32\pthQJiX.exe
  C:\Windows\System32\pthQJiX.exe
  2⤵
  PID:5648
- C:\Windows\System32\ERTReqi.exe
  C:\Windows\System32\ERTReqi.exe
  2⤵
  PID:5672
- C:\Windows\System32\RQkFTnp.exe
  C:\Windows\System32\RQkFTnp.exe
  2⤵
  PID:5716
- C:\Windows\System32\iqORkSU.exe
  C:\Windows\System32\iqORkSU.exe
  2⤵
  PID:5756
- C:\Windows\System32\rxKVbHW.exe
  C:\Windows\System32\rxKVbHW.exe
  2⤵
  PID:5812
- C:\Windows\System32\rMjwjrp.exe
  C:\Windows\System32\rMjwjrp.exe
  2⤵
  PID:5832
- C:\Windows\System32\nHCgnqW.exe
  C:\Windows\System32\nHCgnqW.exe
  2⤵
  PID:5848
- C:\Windows\System32\uOrKaWz.exe
  C:\Windows\System32\uOrKaWz.exe
  2⤵
  PID:5884
- C:\Windows\System32\wHjVjhO.exe
  C:\Windows\System32\wHjVjhO.exe
  2⤵
  PID:5908
- C:\Windows\System32\gPquZOD.exe
  C:\Windows\System32\gPquZOD.exe
  2⤵
  PID:5928
- C:\Windows\System32\eoWvhif.exe
  C:\Windows\System32\eoWvhif.exe
  2⤵
  PID:5944
- C:\Windows\System32\tsSButt.exe
  C:\Windows\System32\tsSButt.exe
  2⤵
  PID:5960
- C:\Windows\System32\MVOcUHv.exe
  C:\Windows\System32\MVOcUHv.exe
  2⤵
  PID:6008
- C:\Windows\System32\arpZuQI.exe
  C:\Windows\System32\arpZuQI.exe
  2⤵
  PID:6056
- C:\Windows\System32\uqfDDZW.exe
  C:\Windows\System32\uqfDDZW.exe
  2⤵
  PID:6076
- C:\Windows\System32\ZjNGUYU.exe
  C:\Windows\System32\ZjNGUYU.exe
  2⤵
  PID:6116
- C:\Windows\System32\qYsIqzD.exe
  C:\Windows\System32\qYsIqzD.exe
  2⤵
  PID:6140
- C:\Windows\System32\MwVkxqw.exe
  C:\Windows\System32\MwVkxqw.exe
  2⤵
  PID:5124
- C:\Windows\System32\NxTbflq.exe
  C:\Windows\System32\NxTbflq.exe
  2⤵
  PID:5232
- C:\Windows\System32\rsqokhe.exe
  C:\Windows\System32\rsqokhe.exe
  2⤵
  PID:5272
- C:\Windows\System32\GpoOlBh.exe
  C:\Windows\System32\GpoOlBh.exe
  2⤵
  PID:5288
- C:\Windows\System32\eZnaSKj.exe
  C:\Windows\System32\eZnaSKj.exe
  2⤵
  PID:5388
- C:\Windows\System32\yAhYeYi.exe
  C:\Windows\System32\yAhYeYi.exe
  2⤵
  PID:5384
- C:\Windows\System32\PBpZvkG.exe
  C:\Windows\System32\PBpZvkG.exe
  2⤵
  PID:5468
- C:\Windows\System32\vDjBRKp.exe
  C:\Windows\System32\vDjBRKp.exe
  2⤵
  PID:5532
- C:\Windows\System32\ZCAyhmO.exe
  C:\Windows\System32\ZCAyhmO.exe
  2⤵
  PID:5640
- C:\Windows\System32\CFuaSHE.exe
  C:\Windows\System32\CFuaSHE.exe
  2⤵
  PID:5792
- C:\Windows\System32\lbtFClr.exe
  C:\Windows\System32\lbtFClr.exe
  2⤵
  PID:5828
- C:\Windows\System32\ylyAmIT.exe
  C:\Windows\System32\ylyAmIT.exe
  2⤵
  PID:5872
- C:\Windows\System32\zFiBGIE.exe
  C:\Windows\System32\zFiBGIE.exe
  2⤵
  PID:5936
- C:\Windows\System32\onWSzRS.exe
  C:\Windows\System32\onWSzRS.exe
  2⤵
  PID:5920
- C:\Windows\System32\NVbAiqD.exe
  C:\Windows\System32\NVbAiqD.exe
  2⤵
  PID:5952
- C:\Windows\System32\fglaXMC.exe
  C:\Windows\System32\fglaXMC.exe
  2⤵
  PID:6016
- C:\Windows\System32\lAbFHDc.exe
  C:\Windows\System32\lAbFHDc.exe
  2⤵
  PID:6072
- C:\Windows\System32\AJaEegj.exe
  C:\Windows\System32\AJaEegj.exe
  2⤵
  PID:2076
- C:\Windows\System32\QLBUmcb.exe
  C:\Windows\System32\QLBUmcb.exe
  2⤵
  PID:5192
- C:\Windows\System32\FJpgRik.exe
  C:\Windows\System32\FJpgRik.exe
  2⤵
  PID:5256
- C:\Windows\System32\IIOwzsW.exe
  C:\Windows\System32\IIOwzsW.exe
  2⤵
  PID:5424
- C:\Windows\System32\aunQGxS.exe
  C:\Windows\System32\aunQGxS.exe
  2⤵
  PID:5604
- C:\Windows\System32\eZfQwwY.exe
  C:\Windows\System32\eZfQwwY.exe
  2⤵
  PID:5660
- C:\Windows\System32\ZJAKSco.exe
  C:\Windows\System32\ZJAKSco.exe
  2⤵
  PID:5324
- C:\Windows\System32\KfFjrFH.exe
  C:\Windows\System32\KfFjrFH.exe
  2⤵
  PID:5664
- C:\Windows\System32\gwQWoxy.exe
  C:\Windows\System32\gwQWoxy.exe
  2⤵
  PID:5740
- C:\Windows\System32\QvqtDiQ.exe
  C:\Windows\System32\QvqtDiQ.exe
  2⤵
  PID:5528
- C:\Windows\System32\rMzJGNW.exe
  C:\Windows\System32\rMzJGNW.exe
  2⤵
  PID:6152
- C:\Windows\System32\yFlCMwV.exe
  C:\Windows\System32\yFlCMwV.exe
  2⤵
  PID:6172
- C:\Windows\System32\AuwHCHa.exe
  C:\Windows\System32\AuwHCHa.exe
  2⤵
  PID:6192
- C:\Windows\System32\xdJodVr.exe
  C:\Windows\System32\xdJodVr.exe
  2⤵
  PID:6216
- C:\Windows\System32\cpDnxCy.exe
  C:\Windows\System32\cpDnxCy.exe
  2⤵
  PID:6232
- C:\Windows\System32\SsCSPzF.exe
  C:\Windows\System32\SsCSPzF.exe
  2⤵
  PID:6256
- C:\Windows\System32\bFXOBZl.exe
  C:\Windows\System32\bFXOBZl.exe
  2⤵
  PID:6276
- C:\Windows\System32\IuSyRer.exe
  C:\Windows\System32\IuSyRer.exe
  2⤵
  PID:6292
- C:\Windows\System32\dPzyfmB.exe
  C:\Windows\System32\dPzyfmB.exe
  2⤵
  PID:6348
- C:\Windows\System32\xldxlyi.exe
  C:\Windows\System32\xldxlyi.exe
  2⤵
  PID:6368
- C:\Windows\System32\UQuRLUo.exe
  C:\Windows\System32\UQuRLUo.exe
  2⤵
  PID:6408
- C:\Windows\System32\TYJspCF.exe
  C:\Windows\System32\TYJspCF.exe
  2⤵
  PID:6468
- C:\Windows\System32\JOmddZh.exe
  C:\Windows\System32\JOmddZh.exe
  2⤵
  PID:6500
- C:\Windows\System32\NWBfFIw.exe
  C:\Windows\System32\NWBfFIw.exe
  2⤵
  PID:6516
- C:\Windows\System32\aCumHmr.exe
  C:\Windows\System32\aCumHmr.exe
  2⤵
  PID:6536
- C:\Windows\System32\GbZWpGQ.exe
  C:\Windows\System32\GbZWpGQ.exe
  2⤵
  PID:6560
- C:\Windows\System32\sMRtzhD.exe
  C:\Windows\System32\sMRtzhD.exe
  2⤵
  PID:6584
- C:\Windows\System32\UwBqlIa.exe
  C:\Windows\System32\UwBqlIa.exe
  2⤵
  PID:6600
- C:\Windows\System32\GEpSSnd.exe
  C:\Windows\System32\GEpSSnd.exe
  2⤵
  PID:6620
- C:\Windows\System32\Smsmouo.exe
  C:\Windows\System32\Smsmouo.exe
  2⤵
  PID:6656
- C:\Windows\System32\rLHDRVn.exe
  C:\Windows\System32\rLHDRVn.exe
  2⤵
  PID:6684
- C:\Windows\System32\xVJuQDl.exe
  C:\Windows\System32\xVJuQDl.exe
  2⤵
  PID:6700
- C:\Windows\System32\kEgaHFV.exe
  C:\Windows\System32\kEgaHFV.exe
  2⤵
  PID:6716
- C:\Windows\System32\ukRYFjy.exe
  C:\Windows\System32\ukRYFjy.exe
  2⤵
  PID:6780
- C:\Windows\System32\iHuRJmf.exe
  C:\Windows\System32\iHuRJmf.exe
  2⤵
  PID:6796
- C:\Windows\System32\XxqvHwF.exe
  C:\Windows\System32\XxqvHwF.exe
  2⤵
  PID:6828
- C:\Windows\System32\ainxwxy.exe
  C:\Windows\System32\ainxwxy.exe
  2⤵
  PID:6860
- C:\Windows\System32\tHezJFQ.exe
  C:\Windows\System32\tHezJFQ.exe
  2⤵
  PID:6888
- C:\Windows\System32\RpjWJDS.exe
  C:\Windows\System32\RpjWJDS.exe
  2⤵
  PID:6916
- C:\Windows\System32\MbQuemV.exe
  C:\Windows\System32\MbQuemV.exe
  2⤵
  PID:6936
- C:\Windows\System32\CANnicg.exe
  C:\Windows\System32\CANnicg.exe
  2⤵
  PID:6952
- C:\Windows\System32\CwpysPq.exe
  C:\Windows\System32\CwpysPq.exe
  2⤵
  PID:6972
- C:\Windows\System32\BDBQXld.exe
  C:\Windows\System32\BDBQXld.exe
  2⤵
  PID:6992
- C:\Windows\System32\xNfrSpm.exe
  C:\Windows\System32\xNfrSpm.exe
  2⤵
  PID:7052
- C:\Windows\System32\sbnaUgb.exe
  C:\Windows\System32\sbnaUgb.exe
  2⤵
  PID:7092
- C:\Windows\System32\yRGDcyz.exe
  C:\Windows\System32\yRGDcyz.exe
  2⤵
  PID:7108
- C:\Windows\System32\XEBcZpO.exe
  C:\Windows\System32\XEBcZpO.exe
  2⤵
  PID:7132
- C:\Windows\System32\BgfjLhb.exe
  C:\Windows\System32\BgfjLhb.exe
  2⤵
  PID:6148
- C:\Windows\System32\MJCrayC.exe
  C:\Windows\System32\MJCrayC.exe
  2⤵
  PID:6248
- C:\Windows\System32\XgArUuL.exe
  C:\Windows\System32\XgArUuL.exe
  2⤵
  PID:6200
- C:\Windows\System32\wWOQqCN.exe
  C:\Windows\System32\wWOQqCN.exe
  2⤵
  PID:6272
- C:\Windows\System32\hrkVRjC.exe
  C:\Windows\System32\hrkVRjC.exe
  2⤵
  PID:6456
- C:\Windows\System32\DoMsqyj.exe
  C:\Windows\System32\DoMsqyj.exe
  2⤵
  PID:6512
- C:\Windows\System32\UAVrknN.exe
  C:\Windows\System32\UAVrknN.exe
  2⤵
  PID:5696
- C:\Windows\System32\YEurgZK.exe
  C:\Windows\System32\YEurgZK.exe
  2⤵
  PID:6608
- C:\Windows\System32\WfLtUSY.exe
  C:\Windows\System32\WfLtUSY.exe
  2⤵
  PID:6708
- C:\Windows\System32\dpDMnuA.exe
  C:\Windows\System32\dpDMnuA.exe
  2⤵
  PID:6696
- C:\Windows\System32\hjiRySC.exe
  C:\Windows\System32\hjiRySC.exe
  2⤵
  PID:6772
- C:\Windows\System32\zcQqqGA.exe
  C:\Windows\System32\zcQqqGA.exe
  2⤵
  PID:6808
- C:\Windows\System32\CDUgaOl.exe
  C:\Windows\System32\CDUgaOl.exe
  2⤵
  PID:6868
- C:\Windows\System32\AQDTyzc.exe
  C:\Windows\System32\AQDTyzc.exe
  2⤵
  PID:6912
- C:\Windows\System32\LHwvvQC.exe
  C:\Windows\System32\LHwvvQC.exe
  2⤵
  PID:6948
- C:\Windows\System32\aXuINBq.exe
  C:\Windows\System32\aXuINBq.exe
  2⤵
  PID:6984
- C:\Windows\System32\MyxJAsx.exe
  C:\Windows\System32\MyxJAsx.exe
  2⤵
  PID:6036
- C:\Windows\System32\Zjqghmc.exe
  C:\Windows\System32\Zjqghmc.exe
  2⤵
  PID:6360
- C:\Windows\System32\dbIlBYx.exe
  C:\Windows\System32\dbIlBYx.exe
  2⤵
  PID:6580
- C:\Windows\System32\RHMOorI.exe
  C:\Windows\System32\RHMOorI.exe
  2⤵
  PID:6652
- C:\Windows\System32\ETYVlfG.exe
  C:\Windows\System32\ETYVlfG.exe
  2⤵
  PID:6792
- C:\Windows\System32\YYiFCwc.exe
  C:\Windows\System32\YYiFCwc.exe
  2⤵
  PID:6804
- C:\Windows\System32\XlKERTT.exe
  C:\Windows\System32\XlKERTT.exe
  2⤵
  PID:7016
- C:\Windows\System32\dTZXArz.exe
  C:\Windows\System32\dTZXArz.exe
  2⤵
  PID:6676
- C:\Windows\System32\qHKUpGg.exe
  C:\Windows\System32\qHKUpGg.exe
  2⤵
  PID:6932
- C:\Windows\System32\MURvJJj.exe
  C:\Windows\System32\MURvJJj.exe
  2⤵
  PID:6208
- C:\Windows\System32\cCzSpQH.exe
  C:\Windows\System32\cCzSpQH.exe
  2⤵
  PID:6284
- C:\Windows\System32\lZSwMAa.exe
  C:\Windows\System32\lZSwMAa.exe
  2⤵
  PID:7184
- C:\Windows\System32\wrEIbyJ.exe
  C:\Windows\System32\wrEIbyJ.exe
  2⤵
  PID:7200
- C:\Windows\System32\PQslYdj.exe
  C:\Windows\System32\PQslYdj.exe
  2⤵
  PID:7228
- C:\Windows\System32\tfQayQU.exe
  C:\Windows\System32\tfQayQU.exe
  2⤵
  PID:7252
- C:\Windows\System32\TFWxafC.exe
  C:\Windows\System32\TFWxafC.exe
  2⤵
  PID:7292
- C:\Windows\System32\xqwstbR.exe
  C:\Windows\System32\xqwstbR.exe
  2⤵
  PID:7316
- C:\Windows\System32\wzjFPJa.exe
  C:\Windows\System32\wzjFPJa.exe
  2⤵
  PID:7332
- C:\Windows\System32\JMTrnCk.exe
  C:\Windows\System32\JMTrnCk.exe
  2⤵
  PID:7380
- C:\Windows\System32\wRENlpU.exe
  C:\Windows\System32\wRENlpU.exe
  2⤵
  PID:7400
- C:\Windows\System32\dRauauq.exe
  C:\Windows\System32\dRauauq.exe
  2⤵
  PID:7440
- C:\Windows\System32\AwaBiCs.exe
  C:\Windows\System32\AwaBiCs.exe
  2⤵
  PID:7456
- C:\Windows\System32\GSRtVBp.exe
  C:\Windows\System32\GSRtVBp.exe
  2⤵
  PID:7484
- C:\Windows\System32\hyvbQUA.exe
  C:\Windows\System32\hyvbQUA.exe
  2⤵
  PID:7508
- C:\Windows\System32\qrqEQJO.exe
  C:\Windows\System32\qrqEQJO.exe
  2⤵
  PID:7572
- C:\Windows\System32\tmBmEri.exe
  C:\Windows\System32\tmBmEri.exe
  2⤵
  PID:7596
- C:\Windows\System32\tvwOKEN.exe
  C:\Windows\System32\tvwOKEN.exe
  2⤵
  PID:7616
- C:\Windows\System32\OJDPdGG.exe
  C:\Windows\System32\OJDPdGG.exe
  2⤵
  PID:7656
- C:\Windows\System32\KVcNlfC.exe
  C:\Windows\System32\KVcNlfC.exe
  2⤵
  PID:7680
- C:\Windows\System32\aehRKfT.exe
  C:\Windows\System32\aehRKfT.exe
  2⤵
  PID:7704
- C:\Windows\System32\wBUXnRz.exe
  C:\Windows\System32\wBUXnRz.exe
  2⤵
  PID:7736
- C:\Windows\System32\vAPDggE.exe
  C:\Windows\System32\vAPDggE.exe
  2⤵
  PID:7760
- C:\Windows\System32\SOwKQqD.exe
  C:\Windows\System32\SOwKQqD.exe
  2⤵
  PID:7784
- C:\Windows\System32\GcVxYnc.exe
  C:\Windows\System32\GcVxYnc.exe
  2⤵
  PID:7800
- C:\Windows\System32\kVyTNpt.exe
  C:\Windows\System32\kVyTNpt.exe
  2⤵
  PID:7856
- C:\Windows\System32\hunzQEm.exe
  C:\Windows\System32\hunzQEm.exe
  2⤵
  PID:7880
- C:\Windows\System32\ApHSeVq.exe
  C:\Windows\System32\ApHSeVq.exe
  2⤵
  PID:7900
- C:\Windows\System32\PgLRZAm.exe
  C:\Windows\System32\PgLRZAm.exe
  2⤵
  PID:7916
- C:\Windows\System32\AaQOZfo.exe
  C:\Windows\System32\AaQOZfo.exe
  2⤵
  PID:7944
- C:\Windows\System32\XLFUrDL.exe
  C:\Windows\System32\XLFUrDL.exe
  2⤵
  PID:7968
- C:\Windows\System32\gQfRRxS.exe
  C:\Windows\System32\gQfRRxS.exe
  2⤵
  PID:7984
- C:\Windows\System32\iJcCVVA.exe
  C:\Windows\System32\iJcCVVA.exe
  2⤵
  PID:8004
- C:\Windows\System32\VuPPKdH.exe
  C:\Windows\System32\VuPPKdH.exe
  2⤵
  PID:8072
- C:\Windows\System32\lDNCgPx.exe
  C:\Windows\System32\lDNCgPx.exe
  2⤵
  PID:8092
- C:\Windows\System32\OnvNlQY.exe
  C:\Windows\System32\OnvNlQY.exe
  2⤵
  PID:8108
- C:\Windows\System32\djCSwYF.exe
  C:\Windows\System32\djCSwYF.exe
  2⤵
  PID:8128
- C:\Windows\System32\yvHlKYs.exe
  C:\Windows\System32\yvHlKYs.exe
  2⤵
  PID:8172
- C:\Windows\System32\PSPrchi.exe
  C:\Windows\System32\PSPrchi.exe
  2⤵
  PID:6692
- C:\Windows\System32\WONJsgY.exe
  C:\Windows\System32\WONJsgY.exe
  2⤵
  PID:6312
- C:\Windows\System32\qaOUwSs.exe
  C:\Windows\System32\qaOUwSs.exe
  2⤵
  PID:7264
- C:\Windows\System32\pgkeJZI.exe
  C:\Windows\System32\pgkeJZI.exe
  2⤵
  PID:7452
- C:\Windows\System32\CVBsBfv.exe
  C:\Windows\System32\CVBsBfv.exe
  2⤵
  PID:7592
- C:\Windows\System32\JVkQMRm.exe
  C:\Windows\System32\JVkQMRm.exe
  2⤵
  PID:7676
- C:\Windows\System32\TPFMNYu.exe
  C:\Windows\System32\TPFMNYu.exe
  2⤵
  PID:7720
- C:\Windows\System32\RpBiPSW.exe
  C:\Windows\System32\RpBiPSW.exe
  2⤵
  PID:7752
- C:\Windows\System32\fcYaGiT.exe
  C:\Windows\System32\fcYaGiT.exe
  2⤵
  PID:7824
- C:\Windows\System32\bFOvYJK.exe
  C:\Windows\System32\bFOvYJK.exe
  2⤵
  PID:7888
- C:\Windows\System32\gtIwtJS.exe
  C:\Windows\System32\gtIwtJS.exe
  2⤵
  PID:7980
- C:\Windows\System32\OSydPsi.exe
  C:\Windows\System32\OSydPsi.exe
  2⤵
  PID:8044
- C:\Windows\System32\jojDDGQ.exe
  C:\Windows\System32\jojDDGQ.exe
  2⤵
  PID:8100
- C:\Windows\System32\HrEYmiT.exe
  C:\Windows\System32\HrEYmiT.exe
  2⤵
  PID:7180
- C:\Windows\System32\NvXkcJP.exe
  C:\Windows\System32\NvXkcJP.exe
  2⤵
  PID:7300
- C:\Windows\System32\onmiDND.exe
  C:\Windows\System32\onmiDND.exe
  2⤵
  PID:7412
- C:\Windows\System32\PNyOGWL.exe
  C:\Windows\System32\PNyOGWL.exe
  2⤵
  PID:7612
- C:\Windows\System32\fBYTXDc.exe
  C:\Windows\System32\fBYTXDc.exe
  2⤵
  PID:7428
- C:\Windows\System32\xDXONbA.exe
  C:\Windows\System32\xDXONbA.exe
  2⤵
  PID:7624
- C:\Windows\System32\AusiHMk.exe
  C:\Windows\System32\AusiHMk.exe
  2⤵
  PID:7832
- C:\Windows\System32\ATrtMni.exe
  C:\Windows\System32\ATrtMni.exe
  2⤵
  PID:7964
- C:\Windows\System32\mAlniPL.exe
  C:\Windows\System32\mAlniPL.exe
  2⤵
  PID:8020
- C:\Windows\System32\EePCvIr.exe
  C:\Windows\System32\EePCvIr.exe
  2⤵
  PID:8168
- C:\Windows\System32\saZCJUs.exe
  C:\Windows\System32\saZCJUs.exe
  2⤵
  PID:7344
- C:\Windows\System32\eEZxObK.exe
  C:\Windows\System32\eEZxObK.exe
  2⤵
  PID:7348
- C:\Windows\System32\BpwgJLA.exe
  C:\Windows\System32\BpwgJLA.exe
  2⤵
  PID:7872
- C:\Windows\System32\ESbzlHS.exe
  C:\Windows\System32\ESbzlHS.exe
  2⤵
  PID:7192
- C:\Windows\System32\WQqAyjS.exe
  C:\Windows\System32\WQqAyjS.exe
  2⤵
  PID:7688
- C:\Windows\System32\wsqBHZH.exe
  C:\Windows\System32\wsqBHZH.exe
  2⤵
  PID:8200
- C:\Windows\System32\PwuqmpV.exe
  C:\Windows\System32\PwuqmpV.exe
  2⤵
  PID:8228
- C:\Windows\System32\wOKayfR.exe
  C:\Windows\System32\wOKayfR.exe
  2⤵
  PID:8244
- C:\Windows\System32\xKcxFMh.exe
  C:\Windows\System32\xKcxFMh.exe
  2⤵
  PID:8288
- C:\Windows\System32\HeQrPRC.exe
  C:\Windows\System32\HeQrPRC.exe
  2⤵
  PID:8320
- C:\Windows\System32\gWipchU.exe
  C:\Windows\System32\gWipchU.exe
  2⤵
  PID:8344
- C:\Windows\System32\EDDVolt.exe
  C:\Windows\System32\EDDVolt.exe
  2⤵
  PID:8364
- C:\Windows\System32\TQyERzq.exe
  C:\Windows\System32\TQyERzq.exe
  2⤵
  PID:8400
- C:\Windows\System32\dAVqRnl.exe
  C:\Windows\System32\dAVqRnl.exe
  2⤵
  PID:8440
- C:\Windows\System32\eAiwLmu.exe
  C:\Windows\System32\eAiwLmu.exe
  2⤵
  PID:8460
- C:\Windows\System32\KWJRVxh.exe
  C:\Windows\System32\KWJRVxh.exe
  2⤵
  PID:8488
- C:\Windows\System32\ttlnSzw.exe
  C:\Windows\System32\ttlnSzw.exe
  2⤵
  PID:8516
- C:\Windows\System32\iuSSLpM.exe
  C:\Windows\System32\iuSSLpM.exe
  2⤵
  PID:8556
- C:\Windows\System32\qqLTuJX.exe
  C:\Windows\System32\qqLTuJX.exe
  2⤵
  PID:8584
- C:\Windows\System32\wLZPjPI.exe
  C:\Windows\System32\wLZPjPI.exe
  2⤵
  PID:8604
- C:\Windows\System32\pWROCCz.exe
  C:\Windows\System32\pWROCCz.exe
  2⤵
  PID:8624
- C:\Windows\System32\YAOaOOD.exe
  C:\Windows\System32\YAOaOOD.exe
  2⤵
  PID:8648
- C:\Windows\System32\uxNQhLO.exe
  C:\Windows\System32\uxNQhLO.exe
  2⤵
  PID:8684
- C:\Windows\System32\ZvQZKgG.exe
  C:\Windows\System32\ZvQZKgG.exe
  2⤵
  PID:8712
- C:\Windows\System32\VywunII.exe
  C:\Windows\System32\VywunII.exe
  2⤵
  PID:8728
- C:\Windows\System32\NIeXyAR.exe
  C:\Windows\System32\NIeXyAR.exe
  2⤵
  PID:8752
- C:\Windows\System32\TErDBBM.exe
  C:\Windows\System32\TErDBBM.exe
  2⤵
  PID:8772
- C:\Windows\System32\JiqGPnV.exe
  C:\Windows\System32\JiqGPnV.exe
  2⤵
  PID:8816
- C:\Windows\System32\YaGiZJs.exe
  C:\Windows\System32\YaGiZJs.exe
  2⤵
  PID:8836
- C:\Windows\System32\YDgIpSU.exe
  C:\Windows\System32\YDgIpSU.exe
  2⤵
  PID:8852
- C:\Windows\System32\HgzmhAD.exe
  C:\Windows\System32\HgzmhAD.exe
  2⤵
  PID:8876
- C:\Windows\System32\BdqOUlL.exe
  C:\Windows\System32\BdqOUlL.exe
  2⤵
  PID:8892
- C:\Windows\System32\jhsHAIm.exe
  C:\Windows\System32\jhsHAIm.exe
  2⤵
  PID:8912
- C:\Windows\System32\jXaOsLV.exe
  C:\Windows\System32\jXaOsLV.exe
  2⤵
  PID:8956
- C:\Windows\System32\jSzlJDx.exe
  C:\Windows\System32\jSzlJDx.exe
  2⤵
  PID:8972
- C:\Windows\System32\FzgrxRf.exe
  C:\Windows\System32\FzgrxRf.exe
  2⤵
  PID:9000
- C:\Windows\System32\GgEYTJp.exe
  C:\Windows\System32\GgEYTJp.exe
  2⤵
  PID:9032
- C:\Windows\System32\tEVKOhU.exe
  C:\Windows\System32\tEVKOhU.exe
  2⤵
  PID:9076
- C:\Windows\System32\owikLnm.exe
  C:\Windows\System32\owikLnm.exe
  2⤵
  PID:9104
- C:\Windows\System32\yKIyHaH.exe
  C:\Windows\System32\yKIyHaH.exe
  2⤵
  PID:9132
- C:\Windows\System32\OHSWOwA.exe
  C:\Windows\System32\OHSWOwA.exe
  2⤵
  PID:9172
- C:\Windows\System32\QIlLTWK.exe
  C:\Windows\System32\QIlLTWK.exe
  2⤵
  PID:9212
- C:\Windows\System32\CIjFexh.exe
  C:\Windows\System32\CIjFexh.exe
  2⤵
  PID:8276
- C:\Windows\System32\wgmAjhd.exe
  C:\Windows\System32\wgmAjhd.exe
  2⤵
  PID:8264
- C:\Windows\System32\geudhxz.exe
  C:\Windows\System32\geudhxz.exe
  2⤵
  PID:8328
- C:\Windows\System32\oAwyZin.exe
  C:\Windows\System32\oAwyZin.exe
  2⤵
  PID:8376
- C:\Windows\System32\MeXIfMS.exe
  C:\Windows\System32\MeXIfMS.exe
  2⤵
  PID:8476
- C:\Windows\System32\bZiwMgB.exe
  C:\Windows\System32\bZiwMgB.exe
  2⤵
  PID:8580
- C:\Windows\System32\GHVczIX.exe
  C:\Windows\System32\GHVczIX.exe
  2⤵
  PID:8600
- C:\Windows\System32\XIAYpDZ.exe
  C:\Windows\System32\XIAYpDZ.exe
  2⤵
  PID:8636
- C:\Windows\System32\LJKfeaN.exe
  C:\Windows\System32\LJKfeaN.exe
  2⤵
  PID:8764
- C:\Windows\System32\aTyycnz.exe
  C:\Windows\System32\aTyycnz.exe
  2⤵
  PID:8920
- C:\Windows\System32\ddQGbLW.exe
  C:\Windows\System32\ddQGbLW.exe
  2⤵
  PID:8848
- C:\Windows\System32\nFmVyuf.exe
  C:\Windows\System32\nFmVyuf.exe
  2⤵
  PID:8888
- C:\Windows\System32\ebTjOfq.exe
  C:\Windows\System32\ebTjOfq.exe
  2⤵
  PID:9028
- C:\Windows\System32\ZGNGZlG.exe
  C:\Windows\System32\ZGNGZlG.exe
  2⤵
  PID:8992
- C:\Windows\System32\VgNewWI.exe
  C:\Windows\System32\VgNewWI.exe
  2⤵
  PID:9100
- C:\Windows\System32\FTUcqxN.exe
  C:\Windows\System32\FTUcqxN.exe
  2⤵
  PID:9192
- C:\Windows\System32\NukMDOW.exe
  C:\Windows\System32\NukMDOW.exe
  2⤵
  PID:8260
- C:\Windows\System32\ZvUqibP.exe
  C:\Windows\System32\ZvUqibP.exe
  2⤵
  PID:8396
- C:\Windows\System32\ocwTdyo.exe
  C:\Windows\System32\ocwTdyo.exe
  2⤵
  PID:8524
- C:\Windows\System32\WEyzquU.exe
  C:\Windows\System32\WEyzquU.exe
  2⤵
  PID:8680
- C:\Windows\System32\uNswTIJ.exe
  C:\Windows\System32\uNswTIJ.exe
  2⤵
  PID:8968
- C:\Windows\System32\JrTTihK.exe
  C:\Windows\System32\JrTTihK.exe
  2⤵
  PID:8996
- C:\Windows\System32\NgJiypA.exe
  C:\Windows\System32\NgJiypA.exe
  2⤵
  PID:8420
- C:\Windows\System32\MIXrjDG.exe
  C:\Windows\System32\MIXrjDG.exe
  2⤵
  PID:8412
- C:\Windows\System32\EHeZyLe.exe
  C:\Windows\System32\EHeZyLe.exe
  2⤵
  PID:8900
- C:\Windows\System32\XdRVypv.exe
  C:\Windows\System32\XdRVypv.exe
  2⤵
  PID:9180
- C:\Windows\System32\xxENAnD.exe
  C:\Windows\System32\xxENAnD.exe
  2⤵
  PID:8964
- C:\Windows\System32\JXOgwWw.exe
  C:\Windows\System32\JXOgwWw.exe
  2⤵
  PID:9252
- C:\Windows\System32\QtSdwhK.exe
  C:\Windows\System32\QtSdwhK.exe
  2⤵
  PID:9284
- C:\Windows\System32\DKDIMPf.exe
  C:\Windows\System32\DKDIMPf.exe
  2⤵
  PID:9312
- C:\Windows\System32\NmkTZWQ.exe
  C:\Windows\System32\NmkTZWQ.exe
  2⤵
  PID:9328
- C:\Windows\System32\htJRvwv.exe
  C:\Windows\System32\htJRvwv.exe
  2⤵
  PID:9364
- C:\Windows\System32\KrZAtmi.exe
  C:\Windows\System32\KrZAtmi.exe
  2⤵
  PID:9388
- C:\Windows\System32\QEbwmPs.exe
  C:\Windows\System32\QEbwmPs.exe
  2⤵
  PID:9412
- C:\Windows\System32\PgIFLVN.exe
  C:\Windows\System32\PgIFLVN.exe
  2⤵
  PID:9452
- C:\Windows\System32\fBnJiwx.exe
  C:\Windows\System32\fBnJiwx.exe
  2⤵
  PID:9472
- C:\Windows\System32\RHDRYkf.exe
  C:\Windows\System32\RHDRYkf.exe
  2⤵
  PID:9500
- C:\Windows\System32\mknJEdW.exe
  C:\Windows\System32\mknJEdW.exe
  2⤵
  PID:9532
- C:\Windows\System32\PNCoGAO.exe
  C:\Windows\System32\PNCoGAO.exe
  2⤵
  PID:9552
- C:\Windows\System32\OZwxZEo.exe
  C:\Windows\System32\OZwxZEo.exe
  2⤵
  PID:9572
- C:\Windows\System32\uetAAJa.exe
  C:\Windows\System32\uetAAJa.exe
  2⤵
  PID:9588
- C:\Windows\System32\GhtyPvE.exe
  C:\Windows\System32\GhtyPvE.exe
  2⤵
  PID:9628
- C:\Windows\System32\zYQDiWV.exe
  C:\Windows\System32\zYQDiWV.exe
  2⤵
  PID:9644
- C:\Windows\System32\uUWEbKv.exe
  C:\Windows\System32\uUWEbKv.exe
  2⤵
  PID:9724
- C:\Windows\System32\zANYExD.exe
  C:\Windows\System32\zANYExD.exe
  2⤵
  PID:9748
- C:\Windows\System32\xgmMlba.exe
  C:\Windows\System32\xgmMlba.exe
  2⤵
  PID:9768
- C:\Windows\System32\FPZUtev.exe
  C:\Windows\System32\FPZUtev.exe
  2⤵
  PID:9784
- C:\Windows\System32\QbnndGX.exe
  C:\Windows\System32\QbnndGX.exe
  2⤵
  PID:9808
- C:\Windows\System32\PjHikHP.exe
  C:\Windows\System32\PjHikHP.exe
  2⤵
  PID:9824
- C:\Windows\System32\eBXKnON.exe
  C:\Windows\System32\eBXKnON.exe
  2⤵
  PID:9844
- C:\Windows\System32\VlVlpFs.exe
  C:\Windows\System32\VlVlpFs.exe
  2⤵
  PID:9872
- C:\Windows\System32\ekmWomZ.exe
  C:\Windows\System32\ekmWomZ.exe
  2⤵
  PID:9904
- C:\Windows\System32\fWuuvIF.exe
  C:\Windows\System32\fWuuvIF.exe
  2⤵
  PID:9920
- C:\Windows\System32\JiLvcSF.exe
  C:\Windows\System32\JiLvcSF.exe
  2⤵
  PID:9944
- C:\Windows\System32\NpoLbMQ.exe
  C:\Windows\System32\NpoLbMQ.exe
  2⤵
  PID:9984
- C:\Windows\System32\VHmMVQn.exe
  C:\Windows\System32\VHmMVQn.exe
  2⤵
  PID:10008
- C:\Windows\System32\ylTMbxn.exe
  C:\Windows\System32\ylTMbxn.exe
  2⤵
  PID:10052
- C:\Windows\System32\cipCDUw.exe
  C:\Windows\System32\cipCDUw.exe
  2⤵
  PID:10096
- C:\Windows\System32\McbmcGQ.exe
  C:\Windows\System32\McbmcGQ.exe
  2⤵
  PID:10128
- C:\Windows\System32\JCSwaNy.exe
  C:\Windows\System32\JCSwaNy.exe
  2⤵
  PID:10164
- C:\Windows\System32\oYsmqEu.exe
  C:\Windows\System32\oYsmqEu.exe
  2⤵
  PID:10184
- C:\Windows\System32\eAMhLwO.exe
  C:\Windows\System32\eAMhLwO.exe
  2⤵
  PID:10204
- C:\Windows\System32\qMwhjYy.exe
  C:\Windows\System32\qMwhjYy.exe
  2⤵
  PID:10220
- C:\Windows\System32\KRlrNfL.exe
  C:\Windows\System32\KRlrNfL.exe
  2⤵
  PID:8748
- C:\Windows\System32\GPuzlaT.exe
  C:\Windows\System32\GPuzlaT.exe
  2⤵
  PID:9208
- C:\Windows\System32\OHXuUrd.exe
  C:\Windows\System32\OHXuUrd.exe
  2⤵
  PID:9268
- C:\Windows\System32\ZHEUMSF.exe
  C:\Windows\System32\ZHEUMSF.exe
  2⤵
  PID:9372
- C:\Windows\System32\ZRYqrAr.exe
  C:\Windows\System32\ZRYqrAr.exe
  2⤵
  PID:9424
- C:\Windows\System32\nSkEGoD.exe
  C:\Windows\System32\nSkEGoD.exe
  2⤵
  PID:9488
- C:\Windows\System32\GWwwStF.exe
  C:\Windows\System32\GWwwStF.exe
  2⤵
  PID:9668
- C:\Windows\System32\qtDkyol.exe
  C:\Windows\System32\qtDkyol.exe
  2⤵
  PID:8812
- C:\Windows\System32\NmYzniP.exe
  C:\Windows\System32\NmYzniP.exe
  2⤵
  PID:9796
- C:\Windows\System32\DhGZZTQ.exe
  C:\Windows\System32\DhGZZTQ.exe
  2⤵
  PID:9860
- C:\Windows\System32\AJFLNvX.exe
  C:\Windows\System32\AJFLNvX.exe
  2⤵
  PID:9916
- C:\Windows\System32\WONKXzW.exe
  C:\Windows\System32\WONKXzW.exe
  2⤵
  PID:9960
- C:\Windows\System32\mzyWmRk.exe
  C:\Windows\System32\mzyWmRk.exe
  2⤵
  PID:9996
- C:\Windows\System32\ipwCdte.exe
  C:\Windows\System32\ipwCdte.exe
  2⤵
  PID:10060
- C:\Windows\System32\WYOQrSa.exe
  C:\Windows\System32\WYOQrSa.exe
  2⤵
  PID:10124
- C:\Windows\System32\Veswihr.exe
  C:\Windows\System32\Veswihr.exe
  2⤵
  PID:10152
- C:\Windows\System32\tDVCuJL.exe
  C:\Windows\System32\tDVCuJL.exe
  2⤵
  PID:10176
- C:\Windows\System32\vEoqlTa.exe
  C:\Windows\System32\vEoqlTa.exe
  2⤵
  PID:9376
- C:\Windows\System32\NMKpZiw.exe
  C:\Windows\System32\NMKpZiw.exe
  2⤵
  PID:9516
- C:\Windows\System32\eVGZqSY.exe
  C:\Windows\System32\eVGZqSY.exe
  2⤵
  PID:9696
- C:\Windows\System32\ounGJEz.exe
  C:\Windows\System32\ounGJEz.exe
  2⤵
  PID:9816
- C:\Windows\System32\zNqiLfr.exe
  C:\Windows\System32\zNqiLfr.exe
  2⤵
  PID:10020
- C:\Windows\System32\QfKsCru.exe
  C:\Windows\System32\QfKsCru.exe
  2⤵
  PID:3280
- C:\Windows\System32\dfZtAcO.exe
  C:\Windows\System32\dfZtAcO.exe
  2⤵
  PID:10140
- C:\Windows\System32\tPgBodv.exe
  C:\Windows\System32\tPgBodv.exe
  2⤵
  PID:9244
- C:\Windows\System32\rvwJNZb.exe
  C:\Windows\System32\rvwJNZb.exe
  2⤵
  PID:10028
- C:\Windows\System32\isolwdk.exe
  C:\Windows\System32\isolwdk.exe
  2⤵
  PID:10236
- C:\Windows\System32\mBNPQtw.exe
  C:\Windows\System32\mBNPQtw.exe
  2⤵
  PID:9620
- C:\Windows\System32\PjrlXCv.exe
  C:\Windows\System32\PjrlXCv.exe
  2⤵
  PID:10296
- C:\Windows\System32\DMFXLnw.exe
  C:\Windows\System32\DMFXLnw.exe
  2⤵
  PID:10324
- C:\Windows\System32\zyfGJgv.exe
  C:\Windows\System32\zyfGJgv.exe
  2⤵
  PID:10340
- C:\Windows\System32\AcWPvHl.exe
  C:\Windows\System32\AcWPvHl.exe
  2⤵
  PID:10364
- C:\Windows\System32\IHZfjwY.exe
  C:\Windows\System32\IHZfjwY.exe
  2⤵
  PID:10384
- C:\Windows\System32\gtYNHuy.exe
  C:\Windows\System32\gtYNHuy.exe
  2⤵
  PID:10404
- C:\Windows\System32\rpUNFBF.exe
  C:\Windows\System32\rpUNFBF.exe
  2⤵
  PID:10440
- C:\Windows\System32\MflmkxM.exe
  C:\Windows\System32\MflmkxM.exe
  2⤵
  PID:10456
- C:\Windows\System32\oyVmNck.exe
  C:\Windows\System32\oyVmNck.exe
  2⤵
  PID:10524
- C:\Windows\System32\ikoPsSo.exe
  C:\Windows\System32\ikoPsSo.exe
  2⤵
  PID:10540
- C:\Windows\System32\TJnRGzg.exe
  C:\Windows\System32\TJnRGzg.exe
  2⤵
  PID:10568
- C:\Windows\System32\FzLzzVi.exe
  C:\Windows\System32\FzLzzVi.exe
  2⤵
  PID:10592
- C:\Windows\System32\SjgASHE.exe
  C:\Windows\System32\SjgASHE.exe
  2⤵
  PID:10608
- C:\Windows\System32\JvYztzc.exe
  C:\Windows\System32\JvYztzc.exe
  2⤵
  PID:10632
- C:\Windows\System32\kIGEpRv.exe
  C:\Windows\System32\kIGEpRv.exe
  2⤵
  PID:10664
- C:\Windows\System32\mxTzOLo.exe
  C:\Windows\System32\mxTzOLo.exe
  2⤵
  PID:10704
- C:\Windows\System32\vMmkmJS.exe
  C:\Windows\System32\vMmkmJS.exe
  2⤵
  PID:10756
- C:\Windows\System32\OKkjTTh.exe
  C:\Windows\System32\OKkjTTh.exe
  2⤵
  PID:10772
- C:\Windows\System32\TbSABmn.exe
  C:\Windows\System32\TbSABmn.exe
  2⤵
  PID:10796
- C:\Windows\System32\ieGDIPO.exe
  C:\Windows\System32\ieGDIPO.exe
  2⤵
  PID:10828
- C:\Windows\System32\NlMznYN.exe
  C:\Windows\System32\NlMznYN.exe
  2⤵
  PID:10856
- C:\Windows\System32\KkEwZdB.exe
  C:\Windows\System32\KkEwZdB.exe
  2⤵
  PID:10876
- C:\Windows\System32\YJyXZtg.exe
  C:\Windows\System32\YJyXZtg.exe
  2⤵
  PID:10900
- C:\Windows\System32\kIKdUnU.exe
  C:\Windows\System32\kIKdUnU.exe
  2⤵
  PID:10928
- C:\Windows\System32\wjVzIyI.exe
  C:\Windows\System32\wjVzIyI.exe
  2⤵
  PID:10968
- C:\Windows\System32\tIHJCZf.exe
  C:\Windows\System32\tIHJCZf.exe
  2⤵
  PID:10984
- C:\Windows\System32\TJbgDVr.exe
  C:\Windows\System32\TJbgDVr.exe
  2⤵
  PID:11016
- C:\Windows\System32\DzpoNDo.exe
  C:\Windows\System32\DzpoNDo.exe
  2⤵
  PID:11044
- C:\Windows\System32\wtwpizm.exe
  C:\Windows\System32\wtwpizm.exe
  2⤵
  PID:11072
- C:\Windows\System32\wBEgrRj.exe
  C:\Windows\System32\wBEgrRj.exe
  2⤵
  PID:11092
- C:\Windows\System32\LHSbyek.exe
  C:\Windows\System32\LHSbyek.exe
  2⤵
  PID:11128
- C:\Windows\System32\ckpUocT.exe
  C:\Windows\System32\ckpUocT.exe
  2⤵
  PID:11152
- C:\Windows\System32\oJXUYgm.exe
  C:\Windows\System32\oJXUYgm.exe
  2⤵
  PID:11260
- C:\Windows\System32\NDFpDGO.exe
  C:\Windows\System32\NDFpDGO.exe
  2⤵
  PID:9760
- C:\Windows\System32\bpzdeIS.exe
  C:\Windows\System32\bpzdeIS.exe
  2⤵
  PID:9520
- C:\Windows\System32\xmUiqPj.exe
  C:\Windows\System32\xmUiqPj.exe
  2⤵
  PID:9792
- C:\Windows\System32\OkUEDiR.exe
  C:\Windows\System32\OkUEDiR.exe
  2⤵
  PID:10308
- C:\Windows\System32\qEKbCyV.exe
  C:\Windows\System32\qEKbCyV.exe
  2⤵
  PID:10376
- C:\Windows\System32\gLYOWRb.exe
  C:\Windows\System32\gLYOWRb.exe
  2⤵
  PID:10396
- C:\Windows\System32\fYAYbEd.exe
  C:\Windows\System32\fYAYbEd.exe
  2⤵
  PID:10420
- C:\Windows\System32\GbhsbSA.exe
  C:\Windows\System32\GbhsbSA.exe
  2⤵
  PID:10480
- C:\Windows\System32\FlsYIiZ.exe
  C:\Windows\System32\FlsYIiZ.exe
  2⤵
  PID:10500
- C:\Windows\System32\iTSQwXd.exe
  C:\Windows\System32\iTSQwXd.exe
  2⤵
  PID:10536
- C:\Windows\System32\KFhCVoz.exe
  C:\Windows\System32\KFhCVoz.exe
  2⤵
  PID:10532
- C:\Windows\System32\xsuCsiX.exe
  C:\Windows\System32\xsuCsiX.exe
  2⤵
  PID:10624
- C:\Windows\System32\CCDteQB.exe
  C:\Windows\System32\CCDteQB.exe
  2⤵
  PID:10640
- C:\Windows\System32\GxIxkMV.exe
  C:\Windows\System32\GxIxkMV.exe
  2⤵
  PID:10684
- C:\Windows\System32\krhbKtM.exe
  C:\Windows\System32\krhbKtM.exe
  2⤵
  PID:10740
- C:\Windows\System32\Fjrposs.exe
  C:\Windows\System32\Fjrposs.exe
  2⤵
  PID:10768
- C:\Windows\System32\UTEaosO.exe
  C:\Windows\System32\UTEaosO.exe
  2⤵
  PID:10804
- C:\Windows\System32\kNuqjEH.exe
  C:\Windows\System32\kNuqjEH.exe
  2⤵
  PID:10888
- C:\Windows\System32\KCfwnwc.exe
  C:\Windows\System32\KCfwnwc.exe
  2⤵
  PID:10896
- C:\Windows\System32\TbcAmfK.exe
  C:\Windows\System32\TbcAmfK.exe
  2⤵
  PID:10912
- C:\Windows\System32\Jvdzdku.exe
  C:\Windows\System32\Jvdzdku.exe
  2⤵
  PID:10952
- C:\Windows\System32\kvNVqMs.exe
  C:\Windows\System32\kvNVqMs.exe
  2⤵
  PID:10996
- C:\Windows\System32\aNHijGM.exe
  C:\Windows\System32\aNHijGM.exe
  2⤵
  PID:11040
- C:\Windows\System32\WuIkCZW.exe
  C:\Windows\System32\WuIkCZW.exe
  2⤵
  PID:11068
- C:\Windows\System32\awGknWS.exe
  C:\Windows\System32\awGknWS.exe
  2⤵
  PID:11080
- C:\Windows\System32\BOPhJLf.exe
  C:\Windows\System32\BOPhJLf.exe
  2⤵
  PID:11148
- C:\Windows\System32\lvuxZPI.exe
  C:\Windows\System32\lvuxZPI.exe
  2⤵
  PID:11240
- C:\Windows\System32\vCLTcIs.exe
  C:\Windows\System32\vCLTcIs.exe
  2⤵
  PID:10792
- C:\Windows\System32\ZXYelTr.exe
  C:\Windows\System32\ZXYelTr.exe
  2⤵
  PID:11280
- C:\Windows\System32\UhzfVRX.exe
  C:\Windows\System32\UhzfVRX.exe
  2⤵
  PID:11364
- C:\Windows\System32\NRUlwsF.exe
  C:\Windows\System32\NRUlwsF.exe
  2⤵
  PID:11404
- C:\Windows\System32\oNBYkJk.exe
  C:\Windows\System32\oNBYkJk.exe
  2⤵
  PID:11428
- C:\Windows\System32\frDyAxi.exe
  C:\Windows\System32\frDyAxi.exe
  2⤵
  PID:11452
- C:\Windows\System32\lxVEBTD.exe
  C:\Windows\System32\lxVEBTD.exe
  2⤵
  PID:11476
- C:\Windows\System32\nqQZbjG.exe
  C:\Windows\System32\nqQZbjG.exe
  2⤵
  PID:11516
- C:\Windows\System32\ppXNHuW.exe
  C:\Windows\System32\ppXNHuW.exe
  2⤵
  PID:11544
- C:\Windows\System32\NQsQvGd.exe
  C:\Windows\System32\NQsQvGd.exe
  2⤵
  PID:11560
- C:\Windows\System32\bwOkKuI.exe
  C:\Windows\System32\bwOkKuI.exe
  2⤵
  PID:11576
- C:\Windows\System32\EdkElNQ.exe
  C:\Windows\System32\EdkElNQ.exe
  2⤵
  PID:11620
- C:\Windows\System32\wNgJGvh.exe
  C:\Windows\System32\wNgJGvh.exe
  2⤵
  PID:11644
- C:\Windows\System32\cJjlUiy.exe
  C:\Windows\System32\cJjlUiy.exe
  2⤵
  PID:11672
- C:\Windows\System32\eZCZUWD.exe
  C:\Windows\System32\eZCZUWD.exe
  2⤵
  PID:11704
- C:\Windows\System32\nNeQSgh.exe
  C:\Windows\System32\nNeQSgh.exe
  2⤵
  PID:11744
- C:\Windows\System32\VoDzIDe.exe
  C:\Windows\System32\VoDzIDe.exe
  2⤵
  PID:11760
- C:\Windows\System32\ApAgSlo.exe
  C:\Windows\System32\ApAgSlo.exe
  2⤵
  PID:11784
- C:\Windows\System32\NkknVjx.exe
  C:\Windows\System32\NkknVjx.exe
  2⤵
  PID:11816
- C:\Windows\System32\npAkphg.exe
  C:\Windows\System32\npAkphg.exe
  2⤵
  PID:11860
- C:\Windows\System32\gWHlnWz.exe
  C:\Windows\System32\gWHlnWz.exe
  2⤵
  PID:11892
- C:\Windows\System32\zYRDqTs.exe
  C:\Windows\System32\zYRDqTs.exe
  2⤵
  PID:11908
- C:\Windows\System32\SyxAPDU.exe
  C:\Windows\System32\SyxAPDU.exe
  2⤵
  PID:11948
- C:\Windows\System32\dOgMZLn.exe
  C:\Windows\System32\dOgMZLn.exe
  2⤵
  PID:11972
- C:\Windows\System32\zmiMgQp.exe
  C:\Windows\System32\zmiMgQp.exe
  2⤵
  PID:11988
- C:\Windows\System32\qllgQhR.exe
  C:\Windows\System32\qllgQhR.exe
  2⤵
  PID:12020
- C:\Windows\System32\FihrJfN.exe
  C:\Windows\System32\FihrJfN.exe
  2⤵
  PID:12040
- C:\Windows\System32\JWCcvOR.exe
  C:\Windows\System32\JWCcvOR.exe
  2⤵
  PID:12072
- C:\Windows\System32\OfgWmFy.exe
  C:\Windows\System32\OfgWmFy.exe
  2⤵
  PID:12100
- C:\Windows\System32\FUjpzDr.exe
  C:\Windows\System32\FUjpzDr.exe
  2⤵
  PID:12132
- C:\Windows\System32\CwVBSpa.exe
  C:\Windows\System32\CwVBSpa.exe
  2⤵
  PID:12148
- C:\Windows\System32\NGGnwpy.exe
  C:\Windows\System32\NGGnwpy.exe
  2⤵
  PID:12172
- C:\Windows\System32\NHdQaay.exe
  C:\Windows\System32\NHdQaay.exe
  2⤵
  PID:12208
- C:\Windows\System32\yGejQki.exe
  C:\Windows\System32\yGejQki.exe
  2⤵
  PID:12256
- C:\Windows\System32\xEAGjfG.exe
  C:\Windows\System32\xEAGjfG.exe
  2⤵
  PID:12276
- C:\Windows\System32\JnKhsXP.exe
  C:\Windows\System32\JnKhsXP.exe
  2⤵
  PID:10616
- C:\Windows\System32\GNZOPzl.exe
  C:\Windows\System32\GNZOPzl.exe
  2⤵
  PID:10884
- C:\Windows\System32\UlDLpdu.exe
  C:\Windows\System32\UlDLpdu.exe
  2⤵
  PID:10976
- C:\Windows\System32\qVdxEBi.exe
  C:\Windows\System32\qVdxEBi.exe
  2⤵
  PID:11276
- C:\Windows\System32\cdkJaZW.exe
  C:\Windows\System32\cdkJaZW.exe
  2⤵
  PID:11372
- C:\Windows\System32\AkpUAmw.exe
  C:\Windows\System32\AkpUAmw.exe
  2⤵
  PID:11416
- C:\Windows\System32\ZGftxFp.exe
  C:\Windows\System32\ZGftxFp.exe
  2⤵
  PID:11528
- C:\Windows\System32\JVSYOtQ.exe
  C:\Windows\System32\JVSYOtQ.exe
  2⤵
  PID:11608
- C:\Windows\System32\nrCLeDl.exe
  C:\Windows\System32\nrCLeDl.exe
  2⤵
  PID:11652
- C:\Windows\System32\bSjVwGh.exe
  C:\Windows\System32\bSjVwGh.exe
  2⤵
  PID:11728
- C:\Windows\System32\gQKLpAH.exe
  C:\Windows\System32\gQKLpAH.exe
  2⤵
  PID:11768
- C:\Windows\System32\cWasyCy.exe
  C:\Windows\System32\cWasyCy.exe
  2⤵
  PID:11796
- C:\Windows\System32\pKvaPIH.exe
  C:\Windows\System32\pKvaPIH.exe
  2⤵
  PID:11852
- C:\Windows\System32\isOdBzG.exe
  C:\Windows\System32\isOdBzG.exe
  2⤵
  PID:11868
- C:\Windows\System32\NttLhfd.exe
  C:\Windows\System32\NttLhfd.exe
  2⤵
  PID:11984
- C:\Windows\System32\XKwaJHG.exe
  C:\Windows\System32\XKwaJHG.exe
  2⤵
  PID:12012
- C:\Windows\System32\wDDARvS.exe
  C:\Windows\System32\wDDARvS.exe
  2⤵
  PID:12052
- C:\Windows\System32\YHcewRT.exe
  C:\Windows\System32\YHcewRT.exe
  2⤵
  PID:12088
- C:\Windows\System32\XcTuCoq.exe
  C:\Windows\System32\XcTuCoq.exe
  2⤵
  PID:12144
- C:\Windows\System32\opkwMns.exe
  C:\Windows\System32\opkwMns.exe
  2⤵
  PID:12216
- C:\Windows\System32\pakbFqh.exe
  C:\Windows\System32\pakbFqh.exe
  2⤵
  PID:11024
- C:\Windows\System32\WuaKpZG.exe
  C:\Windows\System32\WuaKpZG.exe
  2⤵
  PID:11508
- C:\Windows\System32\GjLKWMH.exe
  C:\Windows\System32\GjLKWMH.exe
  2⤵
  PID:11568
- C:\Windows\System32\jjEkoxH.exe
  C:\Windows\System32\jjEkoxH.exe
  2⤵
  PID:11692
- C:\Windows\System32\sticobC.exe
  C:\Windows\System32\sticobC.exe
  2⤵
  PID:11712
- C:\Windows\System32\PStolSj.exe
  C:\Windows\System32\PStolSj.exe
  2⤵
  PID:11928
- C:\Windows\System32\mSmSDrN.exe
  C:\Windows\System32\mSmSDrN.exe
  2⤵
  PID:12180
- C:\Windows\System32\jAbGYHE.exe
  C:\Windows\System32\jAbGYHE.exe
  2⤵
  PID:11392
- C:\Windows\System32\UEEUWVj.exe
  C:\Windows\System32\UEEUWVj.exe
  2⤵
  PID:11700
- C:\Windows\System32\vfxZIZK.exe
  C:\Windows\System32\vfxZIZK.exe
  2⤵
  PID:11052
- C:\Windows\System32\nFQqzQZ.exe
  C:\Windows\System32\nFQqzQZ.exe
  2⤵
  PID:11572
- C:\Windows\System32\yUzLuQQ.exe
  C:\Windows\System32\yUzLuQQ.exe
  2⤵
  PID:12320
- C:\Windows\System32\RvKuUjn.exe
  C:\Windows\System32\RvKuUjn.exe
  2⤵
  PID:12336
- C:\Windows\System32\AMjmyXA.exe
  C:\Windows\System32\AMjmyXA.exe
  2⤵
  PID:12356
- C:\Windows\System32\tBbpGNh.exe
  C:\Windows\System32\tBbpGNh.exe
  2⤵
  PID:12404
- C:\Windows\System32\NfKqumH.exe
  C:\Windows\System32\NfKqumH.exe
  2⤵
  PID:12444
- C:\Windows\System32\aemJczt.exe
  C:\Windows\System32\aemJczt.exe
  2⤵
  PID:12472
- C:\Windows\System32\oRPICkF.exe
  C:\Windows\System32\oRPICkF.exe
  2⤵
  PID:12500
- C:\Windows\System32\CgNeBFq.exe
  C:\Windows\System32\CgNeBFq.exe
  2⤵
  PID:12532
- C:\Windows\System32\VkRiZGe.exe
  C:\Windows\System32\VkRiZGe.exe
  2⤵
  PID:12564
- C:\Windows\System32\IqapSjw.exe
  C:\Windows\System32\IqapSjw.exe
  2⤵
  PID:12584
- C:\Windows\System32\xYgPkhl.exe
  C:\Windows\System32\xYgPkhl.exe
  2⤵
  PID:12620
- C:\Windows\System32\cRhLkzB.exe
  C:\Windows\System32\cRhLkzB.exe
  2⤵
  PID:12640
- C:\Windows\System32\TcbJali.exe
  C:\Windows\System32\TcbJali.exe
  2⤵
  PID:12656
- C:\Windows\System32\kFgrWry.exe
  C:\Windows\System32\kFgrWry.exe
  2⤵
  PID:12688
- C:\Windows\System32\VMJWVpQ.exe
  C:\Windows\System32\VMJWVpQ.exe
  2⤵
  PID:12716
- C:\Windows\System32\vYIjSaj.exe
  C:\Windows\System32\vYIjSaj.exe
  2⤵
  PID:12736
- C:\Windows\System32\euuhijx.exe
  C:\Windows\System32\euuhijx.exe
  2⤵
  PID:12776
- C:\Windows\System32\GonNcww.exe
  C:\Windows\System32\GonNcww.exe
  2⤵
  PID:12808
- C:\Windows\System32\ANpdWbz.exe
  C:\Windows\System32\ANpdWbz.exe
  2⤵
  PID:12824
- C:\Windows\System32\tQBbUQX.exe
  C:\Windows\System32\tQBbUQX.exe
  2⤵
  PID:12844
- C:\Windows\System32\TraMZkJ.exe
  C:\Windows\System32\TraMZkJ.exe
  2⤵
  PID:12860
- C:\Windows\System32\FnHoALG.exe
  C:\Windows\System32\FnHoALG.exe
  2⤵
  PID:12884
- C:\Windows\System32\feEQJtZ.exe
  C:\Windows\System32\feEQJtZ.exe
  2⤵
  PID:12904
- C:\Windows\System32\BQbFAdA.exe
  C:\Windows\System32\BQbFAdA.exe
  2⤵
  PID:12924
- C:\Windows\System32\uxwFWoF.exe
  C:\Windows\System32\uxwFWoF.exe
  2⤵
  PID:13028
- C:\Windows\System32\nPFUaab.exe
  C:\Windows\System32\nPFUaab.exe
  2⤵
  PID:13052
- C:\Windows\System32\XHovSTy.exe
  C:\Windows\System32\XHovSTy.exe
  2⤵
  PID:13072
- C:\Windows\System32\ecqBNWO.exe
  C:\Windows\System32\ecqBNWO.exe
  2⤵
  PID:13096
- C:\Windows\System32\byafNuN.exe
  C:\Windows\System32\byafNuN.exe
  2⤵
  PID:13116
- C:\Windows\System32\mCUBgLr.exe
  C:\Windows\System32\mCUBgLr.exe
  2⤵
  PID:13140
- C:\Windows\System32\QMsqeLS.exe
  C:\Windows\System32\QMsqeLS.exe
  2⤵
  PID:13168
- C:\Windows\System32\MFAgHnY.exe
  C:\Windows\System32\MFAgHnY.exe
  2⤵
  PID:13208
- C:\Windows\System32\jDuHOEn.exe
  C:\Windows\System32\jDuHOEn.exe
  2⤵
  PID:13236
- C:\Windows\System32\MlJLwUj.exe
  C:\Windows\System32\MlJLwUj.exe
  2⤵
  PID:13256
- C:\Windows\System32\RSgXgRW.exe
  C:\Windows\System32\RSgXgRW.exe
  2⤵
  PID:13280
- C:\Windows\System32\lCVaeJj.exe
  C:\Windows\System32\lCVaeJj.exe
  2⤵
  PID:13296
- C:\Windows\System32\OJBVmrn.exe
  C:\Windows\System32\OJBVmrn.exe
  2⤵
  PID:11884
- C:\Windows\System32\eFNawGp.exe
  C:\Windows\System32\eFNawGp.exe
  2⤵
  PID:4128
- C:\Windows\System32\wyZktQD.exe
  C:\Windows\System32\wyZktQD.exe
  2⤵
  PID:2020
- C:\Windows\System32\sUgSRMg.exe
  C:\Windows\System32\sUgSRMg.exe
  2⤵
  PID:12440
- C:\Windows\System32\dfZQQxA.exe
  C:\Windows\System32\dfZQQxA.exe
  2⤵
  PID:12496
- C:\Windows\System32\geoncDa.exe
  C:\Windows\System32\geoncDa.exe
  2⤵
  PID:12524
- C:\Windows\System32\jqAfXek.exe
  C:\Windows\System32\jqAfXek.exe
  2⤵
  PID:12576
- C:\Windows\System32\RBIsPPi.exe
  C:\Windows\System32\RBIsPPi.exe
  2⤵
  PID:12628
- C:\Windows\System32\HhhcgTg.exe
  C:\Windows\System32\HhhcgTg.exe
  2⤵
  PID:12696
- C:\Windows\System32\goasOWi.exe
  C:\Windows\System32\goasOWi.exe
  2⤵
  PID:12756

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13080

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ALASgKY.exe

Filesize
914KB

MD5
91894d120539913066bead96bb8796f5

SHA1
0fd013c877977774eb0e43e633af84914adc9913

SHA256
3a28d84f90f55f277088befff55bec0c710286e927f7d0c462c0aa91d1096dea

SHA512
da7653df53286bc3235fec4e8b69b3a91b81e83fd849e7e787052958618a61cc2209513731681a155299bdf070ab21f148b9689a22d89e1edb729edfe7e07c77

Download Submit
C:\Windows\System32\BIEObSk.exe

Filesize
916KB

MD5
e36e3126eed6f9b10809fecf290d3285

SHA1
2d6a0e7a19486b2a4185724b9c127384c0ccd12e

SHA256
b33eda0c9e3ad1f433e48cef65b13578ed5533fd596a6c96f52c15b5345fea57

SHA512
9eaa74a6962373f655e05f4a39090b0a55c4f833e7795e6bef0d7ee382a93a3f7af16966e9601963878bdf10e639aaf5a8848255957533a7b905afcc3c45b90c

Download Submit
C:\Windows\System32\DemMGhI.exe

Filesize
914KB

MD5
6f7a4a4c8fafee3e2416fb0aea03ddad

SHA1
81a0cd5a4f609e9b0682956dd6f66f3cd8df7cfc

SHA256
12341bcc038d0305914e2ed8511e146f88456480176d809eb263c805ae6498dd

SHA512
882d93dc6bee06f2b79dda96f3f68a0597cec684cfd4a7573ea97c9ca921721496d5a38683993f8c28d4690ac0e33b42a37181fc94128ca53a82fe4c11420de2

Download Submit
C:\Windows\System32\FBckVom.exe

Filesize
912KB

MD5
4d75f465e3534ad8902a794014b3fffb

SHA1
13eaeaa378ca53fa4369ca0d72e90d8c1bc79c6c

SHA256
9585e9c9d1bbba859b58093b6b3a814b3c9b4bd62249c7887d95e101ffc955f3

SHA512
cb8e7c3c583818aada1fd5eccd72f0e519940772ece31459330988f6c6bb674fa50e5f29a14b65340aee51f981b0f5014f6a02b958571218f9f367e70beef8d9

Download Submit
C:\Windows\System32\FLDkIgp.exe

Filesize
910KB

MD5
a6441e3baf5ad75c408f3977a3121a05

SHA1
43cefc6af58391ba77e739dc88017346a70508ec

SHA256
41fddd694883e16289a9c52c887ab0b14755a6b9a2eca7acd63045441f675470

SHA512
8f12d5e3730c2a7d3ef2ea27be2e9b39de944208514e339d058f7fa6ed97d0b4a7b179377aa52f8accd5da39fcd9848e08e939704ba838972500820165a0e11e

Download Submit
C:\Windows\System32\GaIsZjK.exe

Filesize
913KB

MD5
d9a8b60e54e333c4750d9045b03c84c5

SHA1
5c3eae0143e6d9142e546267b4c7c1960b0618e8

SHA256
68a20311a0bffe9ea9772a63a1a1d4ad957f71072d7e452e1b96e36c894f4ba2

SHA512
6d8de749da6d50e2ef6a71abfce07ca11d109ce0623e2786617760fe082cf74bd4cece8f1150850febacb740bc2d4d8d06ad567d8e7386b02d8126aa93a4ae91

Download Submit
C:\Windows\System32\GrSsplE.exe

Filesize
916KB

MD5
25975ffb5939f20b5a91740444bf0315

SHA1
479caa3cf0a0f3ff6fd0450fe021644e2ab940ee

SHA256
da125c8c5a66e3776c4bd74f77d46d9b3de82cc97e876e8ee429dc5adb7f85d7

SHA512
2a147cc9920d92bc1313098b3a37b4d225fc12f7a1a0970f1c17fe315a9109e64aa24f7d188cbd2e960bd33ca5d3969f49fa4048d732c5f7e28caca633e124c2

Download Submit
C:\Windows\System32\HjsFixO.exe

Filesize
911KB

MD5
a4f52aeeb221eb470d04161684568502

SHA1
d6854acab65307deabbe962732dd3f0d76ccdd44

SHA256
da42b831061fd2e4d4ec4da22f59b0834d1508111b7713eb803bc77f0e6b1cdb

SHA512
68d30680ef64096403ff295873d77451c0a73f872736e196d1d85912631677840dff4c65ab3e894d30b35f2c61273b6617b9fcaf06dd68b72abbb764c3111c9e

Download Submit
C:\Windows\System32\IOPKdQA.exe

Filesize
913KB

MD5
30e3fbedfc1ccd7489cc3711630a7c12

SHA1
2921023b37d42b683f1b6ac2208f740f9b76211a

SHA256
cae0ee66d9ba0f9864c66481fa2e559a7d3a6194f7a48c3e8c93afb6ed44eef4

SHA512
75c06c50a497262ef8400bb6855071a1f5380b14e4c9ca3bee96dc52c3f59e0c40826225917b1c803af3ab7254231cc25451cd16cc4b9f65647d39337adf9acb

Download Submit
C:\Windows\System32\LDrBnoz.exe

Filesize
909KB

MD5
d20ca10b7c461430f4eaa5d224475fa5

SHA1
39f45f2742b88061a2d1e5ec2c2bff4e5ae5332a

SHA256
a9ab52c5c85326546713e87268b1892c3b0a0b7e815cc6a1467a925be4cc77c7

SHA512
a435eb02d6423bab329f1159b0df46dd8aedbfb4a58235ff826eb8996b908789448dc4779d362a217228678707f0a170a4497f1b01443ea81aa4e36b46ef47b0

Download Submit
C:\Windows\System32\NkTcoSi.exe

Filesize
914KB

MD5
2de2fe40cda8a33f2f0937d415a46e1b

SHA1
e6b5c4c886c2f8cb16b3e4845ec744a228383e50

SHA256
37ad5db37791cf28c2a3047ffe3bde11f06d708af39dce95a34dca657f957420

SHA512
20b852258c021e06892d813c5ef9670663d1c66c00b40f27a8f007b3b8dc33137f9d043216b2afccda8dd94805e9352f43ddfc79ab7b98b946faaf57b621c602

Download Submit
C:\Windows\System32\PmavUvc.exe

Filesize
917KB

MD5
cc17d2e80987919a6464d6389efbeaba

SHA1
262037c6c6a54feb9c3a91478a6d6d52caa0343e

SHA256
f7bc18788999dbe985562f1904f9ceed714d50c3a3867d8324f3d8bedd9adb1d

SHA512
79b3b77865cd6d0fe12c8f333983507944ee92280bbf74fcf87ef963a67b4d8e53d8ae137b681474aec136019dd4ea3ef896195dca6a170c8f9d6c84be57a399

Download Submit
C:\Windows\System32\RSDaVpl.exe

Filesize
912KB

MD5
5d8a8f9cb91b78de1b8d377c2b740190

SHA1
9b7c38b95676c1cbf48ce2b066ed9ed4e819b717

SHA256
4cd4e1a60656658ddd9a7351109b8b9e8e9f71e8540c92d9dc70c3392aa05ea0

SHA512
aee94e70d2f0a192b50141f32ef7b9b256eaf8d5f5d97e6d63998b94a80c7be07340984572def6e9e98c062175a04dd4da53f81dc3dd3f02a3f6e4065db44f8b

Download Submit
C:\Windows\System32\SQXqQpO.exe

Filesize
912KB

MD5
0364249f601cf63b3c15b68990017b5b

SHA1
5eea5e32151a496aa7e3ffcdf54658df0a041362

SHA256
ac35c12da524edf32f1b0df5ab57d1273a08e23fcb9f491520d61236a1e26bde

SHA512
ea00c500b275e78b74abab6a3fa68464b3634d866dd347f7a1d1b742cc02bd49e21865fd35bd2851c86cb03797eedba51150a4abb20403b0a8a130dfe222905c

Download Submit
C:\Windows\System32\VunyjXY.exe

Filesize
915KB

MD5
5129b7ae306600d8206549e62ab594a2

SHA1
1a121679d46021a9e88bbd82b5aee7cae268f590

SHA256
7dca574153832dea771b0fd24f9ea927731086214a345dd854c41670da0e3411

SHA512
809b90e55687ba45e0b1f8862c5bc17b3e183cf9df2adfe3fd8cc7e28bb687d8551191d556d64e6c31bf087b58fab882e3f28ef460150bda0f5c078b19d6dda3

Download Submit
C:\Windows\System32\WzjboKv.exe

Filesize
915KB

MD5
9c51d62210ec99f131aa65fc708f38b8

SHA1
7c8f53b77b0335c1ed89f5dd814e227889ef7d11

SHA256
4fe12bddca033edab6c40d14588fd18e60ebfd2a1ec4279655740d8824c1487b

SHA512
3540de2ac0c0d495dbc183bc55c32396a20d82402730f6c36b36b9caacf7497144ea3540b31f6c22a512cee1b7828364d24ecebfe6ec89526bcfb285b542f630

Download Submit
C:\Windows\System32\cwKyTdn.exe

Filesize
916KB

MD5
ae420bb2aa6370d2ecef75e57ac5eb54

SHA1
9390be0fbedcac2f2ba309cff09d12b275aaa768

SHA256
355fc0b829b07ea9d8fcd09c37658634f6a8446cca758c8381c0898c817f2cf6

SHA512
535601eab5ef246393f3fc3ed7a1e8f13763b2f6285271c7b863063092de784b56be3048ed868a52d1fe2043cfd6573904c8931b48220ec76e0aabbbc094d399

Download Submit
C:\Windows\System32\dQsXSen.exe

Filesize
915KB

MD5
eeb03ed84203316e090e47e159c84768

SHA1
00ba421fd642e250d26c93c08cf859008eb7c12a

SHA256
7705cfb0a177b77f7f00d13746a56964b4e81fd8872ef3482316dacf90de847c

SHA512
eb4c5eaefdd87ba07dc1fcee65ca9df380c7bf518dd281a100fea12d3eadd8e1cc2787b3ab0e46c4d77e2a529908dd93c025d879a8cdbe16cd6a9e574f76b8a4

Download Submit
C:\Windows\System32\dTtFGcj.exe

Filesize
910KB

MD5
e64c6252bba3d2e26012ad5a1f4fa75d

SHA1
01f83788f2ab44b636638aeaa7ea70e1a48d644d

SHA256
ee259c89e43f0ec01b4e4f5e636ec4559fe22d0d3e50749adb74827c48926546

SHA512
7fbddc92ae459561df15d68079a9a367a699db678da67c31c05dfde907abafc024e1b4bcd9e6d19916223cb76db5f7bb8ac584681755294272a22bc773f213d8

Download Submit
C:\Windows\System32\eBRaIsd.exe

Filesize
916KB

MD5
27bf8365d699271472ea9f8310a9f6e2

SHA1
0be8077a1147762c67bb85477c0ad58977df8ec2

SHA256
8e29079a3e42f017cd715b74c5b2776b8555d1cf407a0533d9141751a86f6347

SHA512
e03c10c5055b0a252635efa0e3d926d486d68c13aed2c741f15c32b8168a2cdc1cc62812b2010548fbce6795bfdd2e7ecda42ab9a7e7d95fc299eae57ac340b1

Download Submit
C:\Windows\System32\eOkvesq.exe

Filesize
915KB

MD5
6945081c67204e8373de504e40407b02

SHA1
d141b64c32d391a8766b44ec22546222d4916e0e

SHA256
53b6af49d0706cdaf19212d09f115b4154d9cd60974510f6a20699b4dd0f4fff

SHA512
1869165ceaaedd2b5b6a1d9e15b22167b4547e842fcc6f28d3a34ed623550449467ddbb03e820b1e01c7e865e53ec046cdc9d343dc955e31026a5ce3ff5fd6f9

Download Submit
C:\Windows\System32\eYDhHrP.exe

Filesize
914KB

MD5
272b911031b6c850d2fd2afd2ef71741

SHA1
6dbc5c21033dee5d8ee3e1af2b899a576707e5d4

SHA256
24dc1a9afa5b2543f9267504e347b2e21ad080c79502ad51e554432830366b3c

SHA512
a81d1a24dc9671b171c6bacc9f2650f89b15dcf0d733afc33dd0f94c8a59e078a1dbfac432146fe69ca16af7328f1520f24b8bed73400754d7c641d5a68e278b

Download Submit
C:\Windows\System32\frabVaR.exe

Filesize
917KB

MD5
517f1971cb400ba2325f03f80bd0d4d4

SHA1
765f771154e121bec5cf4812614427f074601074

SHA256
e82ee36a26c4cab3a2165f678e08b19b6592487e57b6a83f2eed6dbfa8a4747b

SHA512
4409f0cbce4ded85d3cc05967f9aeaa7131f9c1ba50837364bb8408cf6750551b41035a523217bf1218a71dc4fc6ae712325844c7739f0c1f0e5a550de6b56a1

Download Submit
C:\Windows\System32\jMZpFsp.exe

Filesize
913KB

MD5
4a3abde50af85c1d2828e1b9fbb35f46

SHA1
ebac04519d09190b27660b4328a0604a6cd01e29

SHA256
b879fb1b6568f70898574464e936fc461434a4b58b7f338d88084759d2235a26

SHA512
bfdfb079f6c1969f5d05b586354751e29d3c1e3bc82cc11122de44b6af606d97f3598f7dbf5d5271b4d530dbf761ee5a024cc0a04c5f54ebfce1f06483c777ea

Download Submit
C:\Windows\System32\jgkAEQL.exe

Filesize
911KB

MD5
4a8c4777d81b44100865900d4babca87

SHA1
2be3076d573186b3a9c834cc35290b4f8e58e531

SHA256
b077093162211ef85971df9719859310ed4b169e03d39681de0e72449e8b42a8

SHA512
feaeed7d3c47d187aa3a901416cb60b0aac3312f454b6ecdc2ae34056858fad501cd39aef31a3d859b3fe16bfd39bb436eb2d2f8910ba6076e3fc458c4c63aca

Download Submit
C:\Windows\System32\mxcvFhS.exe

Filesize
917KB

MD5
c93f676f7a671911b26f9c4c5b3c588c

SHA1
bcf7ec3477a84cb3fdcdccb4d29838863bc07257

SHA256
22a143d1479e9cc6f15992ce9315c65d893281db2b399c802fa8e743c366a706

SHA512
0149291afbde6a5e089a085f8c36409b8f57612f69f30c726ce9e7117ecfb531bf589d908e0f18d0a577ed67d9872a1d15402bc9ceeb42fab88860ef516aa6f5

Download Submit
C:\Windows\System32\nrzPlxN.exe

Filesize
910KB

MD5
c1863b16e765bac5c5b123f028507122

SHA1
8de678b4fa2641c97c1e031fde3433d6be376f31

SHA256
7f13a39e12a0615ed0f7de449fb05cece81f02a026552cfcb8074fd7476318db

SHA512
7fead1e71f571a08f18f2a1c1c33a70010063578838ae44b4a1fa21e1c7b3fcf03cb43bda7eca0f3cca9738e9aa0a282e8acc450b2cdb84bcae0b80bba2ec3ee

Download Submit
C:\Windows\System32\olJxIxr.exe

Filesize
912KB

MD5
e41f8f4d57c770d9f016057397562271

SHA1
fe52109c71fd3e719829af23af92cb66db169e18

SHA256
bbfdb5239fded443ae6939f784c34e97789edae97afa525a23391536b649f67a

SHA512
34ffa5e5527a37413ff5995ea538d08307d6421aee2f321c163ac23aecb939fa3bcc40697c60f0afc006cdadf8e6e978223abadd83644d1056f50cb72e705900

Download Submit
C:\Windows\System32\skYOttz.exe

Filesize
909KB

MD5
bfabc66d986f90dde1e26548e5d80e96

SHA1
840be0d8f0abbe829f78831fccc24e2aa169d4ef

SHA256
b4329eec37c3050118fb64c82f7ae77fa3f24fea82d2c05957aadc193043ae1d

SHA512
a3e34944a9456348914c4e001b997e8f2f2cbdb2181cb530c94aef27de5e56971bcc42222fb8ed8f1bfd416ea699f09ded8483e1bd5651109ed8431262f70457

Download Submit
C:\Windows\System32\tKihpqu.exe

Filesize
911KB

MD5
c8c2091619bf4d4ff6de07928437b821

SHA1
cb3a368ee52fdb803d5df5d3646aeb9c5d165b94

SHA256
74f5fbaf7b6bb59f52556dd9c5fb62df232e5ed32e163a734284f3508a1f8659

SHA512
1beb409fc65de0ae7063b447c9673d7cf4d7e26f6ccfd34b1f2dac99965aba8fb573d865bc585257e1eaca16d49379b2714ca166b4a27250bccebcdfcc7d6657

Download Submit
C:\Windows\System32\uHSjGKv.exe

Filesize
910KB

MD5
25930e2a42d6aba51d8885162a157d58

SHA1
20a9da163e11f8afe4e36274c0a809fe12df54fd

SHA256
336b4f10c7be5cee4321e42b7c4ca96909056516a3785d3dfdfaf7721a75e872

SHA512
521e2b5c48bc62a14b2a56aaf174dad817f7a81c82486f34809f54408dce3e753c11132c4b11958c430a94247d251ed051d75db2e679c888690ab0063aa932a3

Download Submit
C:\Windows\System32\vqtVNyn.exe

Filesize
913KB

MD5
b17b50da746f804067ffcb598f3dbf42

SHA1
da7ca201ea3bcd6b588ba95d785f356cbcfac96d

SHA256
241c813b7b934358a6a065b0292a79171392746756e815ae52537e4f02cb560c

SHA512
0a87aaf90a9cae70a0dd95a1eb6b055bc70f3f779a2f4cd0f9ec0fe94c0fbd6c7823d122cf1b69ea2795b8b4899012461b82348d344a4eb6a257de3b5e176783

Download Submit
C:\Windows\System32\xctjEYu.exe

Filesize
911KB

MD5
868b05f477b0137838a52e230ab50718

SHA1
72abca69a1f65287dc8ca9420009bdc663aa1c5b

SHA256
7602bd7339c362da857ebe18f04f56ea8eb33de53a8b3e48057b90b90ebf95d2

SHA512
90e30708eaa7bc0ca92ab52bbf5a1f614ded85ac3d380e6e6f779539281a9fb05838940e26158a1e8387601706c2a3a15b87b5a586a51f492694c035f604c496

Download Submit
memory/184-283-0x00007FF626E60000-0x00007FF627251000-memory.dmp

Filesize
3.9MB

Download
memory/184-2073-0x00007FF626E60000-0x00007FF627251000-memory.dmp

Filesize
3.9MB

Download
memory/756-117-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp

Filesize
3.9MB

Download
memory/756-2042-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp

Filesize
3.9MB

Download
memory/756-1988-0x00007FF68A200000-0x00007FF68A5F1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-273-0x00007FF7ED150000-0x00007FF7ED541000-memory.dmp

Filesize
3.9MB

Download
memory/1188-2044-0x00007FF7ED150000-0x00007FF7ED541000-memory.dmp

Filesize
3.9MB

Download
memory/1200-2024-0x00007FF754440000-0x00007FF754831000-memory.dmp

Filesize
3.9MB

Download
memory/1200-1953-0x00007FF754440000-0x00007FF754831000-memory.dmp

Filesize
3.9MB

Download
memory/1200-59-0x00007FF754440000-0x00007FF754831000-memory.dmp

Filesize
3.9MB

Download
memory/1544-2020-0x00007FF662A90000-0x00007FF662E81000-memory.dmp

Filesize
3.9MB

Download
memory/1544-61-0x00007FF662A90000-0x00007FF662E81000-memory.dmp

Filesize
3.9MB

Download
memory/1556-2040-0x00007FF656060000-0x00007FF656451000-memory.dmp

Filesize
3.9MB

Download
memory/1556-299-0x00007FF656060000-0x00007FF656451000-memory.dmp

Filesize
3.9MB

Download
memory/1736-55-0x00007FF794B80000-0x00007FF794F71000-memory.dmp

Filesize
3.9MB

Download
memory/1736-1952-0x00007FF794B80000-0x00007FF794F71000-memory.dmp

Filesize
3.9MB

Download
memory/1736-2016-0x00007FF794B80000-0x00007FF794F71000-memory.dmp

Filesize
3.9MB

Download
memory/2000-2030-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp

Filesize
3.9MB

Download
memory/2000-93-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp

Filesize
3.9MB

Download
memory/2000-1987-0x00007FF7ADAF0000-0x00007FF7ADEE1000-memory.dmp

Filesize
3.9MB

Download
memory/2028-301-0x00007FF6672A0000-0x00007FF667691000-memory.dmp

Filesize
3.9MB

Download
memory/2028-2038-0x00007FF6672A0000-0x00007FF667691000-memory.dmp

Filesize
3.9MB

Download
memory/2896-99-0x00007FF7E01A0000-0x00007FF7E0591000-memory.dmp

Filesize
3.9MB

Download
memory/2896-1994-0x00007FF7E01A0000-0x00007FF7E0591000-memory.dmp

Filesize
3.9MB

Download
memory/2896-2032-0x00007FF7E01A0000-0x00007FF7E0591000-memory.dmp

Filesize
3.9MB

Download
memory/3184-45-0x00007FF6D2D60000-0x00007FF6D3151000-memory.dmp

Filesize
3.9MB

Download
memory/3184-2014-0x00007FF6D2D60000-0x00007FF6D3151000-memory.dmp

Filesize
3.9MB

Download
memory/3232-2008-0x00007FF63A630000-0x00007FF63AA21000-memory.dmp

Filesize
3.9MB

Download
memory/3232-20-0x00007FF63A630000-0x00007FF63AA21000-memory.dmp

Filesize
3.9MB

Download
memory/3460-60-0x00007FF633350000-0x00007FF633741000-memory.dmp

Filesize
3.9MB

Download
memory/3460-2010-0x00007FF633350000-0x00007FF633741000-memory.dmp

Filesize
3.9MB

Download
memory/3668-62-0x00007FF6DB3E0000-0x00007FF6DB7D1000-memory.dmp

Filesize
3.9MB

Download
memory/3668-2022-0x00007FF6DB3E0000-0x00007FF6DB7D1000-memory.dmp

Filesize
3.9MB

Download
memory/3948-2036-0x00007FF79F830000-0x00007FF79FC21000-memory.dmp

Filesize
3.9MB

Download
memory/3948-287-0x00007FF79F830000-0x00007FF79FC21000-memory.dmp

Filesize
3.9MB

Download
memory/4108-1990-0x00007FF778F90000-0x00007FF779381000-memory.dmp

Filesize
3.9MB

Download
memory/4108-1-0x00000242F8670000-0x00000242F8680000-memory.dmp

Filesize
64KB

Download
memory/4108-0-0x00007FF778F90000-0x00007FF779381000-memory.dmp

Filesize
3.9MB

Download
memory/4180-73-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp

Filesize
3.9MB

Download
memory/4180-1986-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp

Filesize
3.9MB

Download
memory/4180-2026-0x00007FF79EE50000-0x00007FF79F241000-memory.dmp

Filesize
3.9MB

Download
memory/4280-2018-0x00007FF6016E0000-0x00007FF601AD1000-memory.dmp

Filesize
3.9MB

Download
memory/4280-42-0x00007FF6016E0000-0x00007FF601AD1000-memory.dmp

Filesize
3.9MB

Download
memory/4300-107-0x00007FF7032F0000-0x00007FF7036E1000-memory.dmp

Filesize
3.9MB

Download
memory/4300-2034-0x00007FF7032F0000-0x00007FF7036E1000-memory.dmp

Filesize
3.9MB

Download
memory/4796-2006-0x00007FF70DDC0000-0x00007FF70E1B1000-memory.dmp

Filesize
3.9MB

Download
memory/4796-34-0x00007FF70DDC0000-0x00007FF70E1B1000-memory.dmp

Filesize
3.9MB

Download
memory/4840-44-0x00007FF6CCBE0000-0x00007FF6CCFD1000-memory.dmp

Filesize
3.9MB

Download
memory/4840-2012-0x00007FF6CCBE0000-0x00007FF6CCFD1000-memory.dmp

Filesize
3.9MB

Download
memory/4856-282-0x00007FF6F1B50000-0x00007FF6F1F41000-memory.dmp

Filesize
3.9MB

Download
memory/4856-2057-0x00007FF6F1B50000-0x00007FF6F1F41000-memory.dmp

Filesize
3.9MB

Download
memory/4872-302-0x00007FF627780000-0x00007FF627B71000-memory.dmp

Filesize
3.9MB

Download
memory/4872-2046-0x00007FF627780000-0x00007FF627B71000-memory.dmp

Filesize
3.9MB

Download
memory/5028-275-0x00007FF798720000-0x00007FF798B11000-memory.dmp

Filesize
3.9MB

Download
memory/5028-2052-0x00007FF798720000-0x00007FF798B11000-memory.dmp

Filesize
3.9MB

Download
memory/5116-2028-0x00007FF657690000-0x00007FF657A81000-memory.dmp

Filesize
3.9MB

Download
memory/5116-112-0x00007FF657690000-0x00007FF657A81000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads