xmrig | 0a876f69a8fedd3846ecc4adcdaf50e9c01f4441932a168161457f60ea1e37f8

Analysis

max time kernel
100s
max time network
110s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
25-07-2024 22:43

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2146e56e89ddb0b76fb42f282e767070N.exe
Size

1.4MB
MD5

2146e56e89ddb0b76fb42f282e767070
SHA1

a74fa28b1ad5dc9c2516a13de981b2eb0bb4a80b
SHA256

0a876f69a8fedd3846ecc4adcdaf50e9c01f4441932a168161457f60ea1e37f8
SHA512

41671562b760719b2099918619def8072cb469ef507e78a5ffe99e863bc4968b12c6dfcd0d895eae6ba4d072dcbcafe45c149332d456f34b13f81d4da7d4d117
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XIO6zRIhRmuSOe3ITGjIfKX/:knw9oUUEEDlGUh+hNAN9

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/4368-17-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp	xmrig
behavioral2/memory/4188-342-0x00007FF6658C0000-0x00007FF665CB1000-memory.dmp	xmrig
behavioral2/memory/4912-343-0x00007FF780DE0000-0x00007FF7811D1000-memory.dmp	xmrig
behavioral2/memory/2444-344-0x00007FF643100000-0x00007FF6434F1000-memory.dmp	xmrig
behavioral2/memory/2132-345-0x00007FF6EB560000-0x00007FF6EB951000-memory.dmp	xmrig
behavioral2/memory/212-346-0x00007FF7DFC60000-0x00007FF7E0051000-memory.dmp	xmrig
behavioral2/memory/5004-347-0x00007FF6160C0000-0x00007FF6164B1000-memory.dmp	xmrig
behavioral2/memory/2760-351-0x00007FF780650000-0x00007FF780A41000-memory.dmp	xmrig
behavioral2/memory/3296-348-0x00007FF7E92A0000-0x00007FF7E9691000-memory.dmp	xmrig
behavioral2/memory/4112-355-0x00007FF744380000-0x00007FF744771000-memory.dmp	xmrig
behavioral2/memory/2904-382-0x00007FF7FC540000-0x00007FF7FC931000-memory.dmp	xmrig
behavioral2/memory/3636-393-0x00007FF6C13E0000-0x00007FF6C17D1000-memory.dmp	xmrig
behavioral2/memory/640-403-0x00007FF7ED590000-0x00007FF7ED981000-memory.dmp	xmrig
behavioral2/memory/3984-429-0x00007FF72C9E0000-0x00007FF72CDD1000-memory.dmp	xmrig
behavioral2/memory/1832-433-0x00007FF72A220000-0x00007FF72A611000-memory.dmp	xmrig
behavioral2/memory/5028-414-0x00007FF645340000-0x00007FF645731000-memory.dmp	xmrig
behavioral2/memory/3696-407-0x00007FF720440000-0x00007FF720831000-memory.dmp	xmrig
behavioral2/memory/3060-405-0x00007FF711A50000-0x00007FF711E41000-memory.dmp	xmrig
behavioral2/memory/4616-386-0x00007FF78B740000-0x00007FF78BB31000-memory.dmp	xmrig
behavioral2/memory/4392-381-0x00007FF7310C0000-0x00007FF7314B1000-memory.dmp	xmrig
behavioral2/memory/4976-377-0x00007FF673EC0000-0x00007FF6742B1000-memory.dmp	xmrig
behavioral2/memory/2952-363-0x00007FF767C20000-0x00007FF768011000-memory.dmp	xmrig
behavioral2/memory/4368-2012-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp	xmrig
behavioral2/memory/2468-2013-0x00007FF635D70000-0x00007FF636161000-memory.dmp	xmrig
behavioral2/memory/3660-2019-0x00007FF66D910000-0x00007FF66DD01000-memory.dmp	xmrig
behavioral2/memory/4368-2021-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp	xmrig
behavioral2/memory/2468-2027-0x00007FF635D70000-0x00007FF636161000-memory.dmp	xmrig
behavioral2/memory/4188-2025-0x00007FF6658C0000-0x00007FF665CB1000-memory.dmp	xmrig
behavioral2/memory/1832-2023-0x00007FF72A220000-0x00007FF72A611000-memory.dmp	xmrig
behavioral2/memory/4912-2029-0x00007FF780DE0000-0x00007FF7811D1000-memory.dmp	xmrig
behavioral2/memory/2444-2031-0x00007FF643100000-0x00007FF6434F1000-memory.dmp	xmrig
behavioral2/memory/5004-2033-0x00007FF6160C0000-0x00007FF6164B1000-memory.dmp	xmrig
behavioral2/memory/212-2035-0x00007FF7DFC60000-0x00007FF7E0051000-memory.dmp	xmrig
behavioral2/memory/4112-2043-0x00007FF744380000-0x00007FF744771000-memory.dmp	xmrig
behavioral2/memory/2952-2045-0x00007FF767C20000-0x00007FF768011000-memory.dmp	xmrig
behavioral2/memory/3296-2041-0x00007FF7E92A0000-0x00007FF7E9691000-memory.dmp	xmrig
behavioral2/memory/4976-2047-0x00007FF673EC0000-0x00007FF6742B1000-memory.dmp	xmrig
behavioral2/memory/4392-2049-0x00007FF7310C0000-0x00007FF7314B1000-memory.dmp	xmrig
behavioral2/memory/2132-2039-0x00007FF6EB560000-0x00007FF6EB951000-memory.dmp	xmrig
behavioral2/memory/2760-2037-0x00007FF780650000-0x00007FF780A41000-memory.dmp	xmrig
behavioral2/memory/3636-2052-0x00007FF6C13E0000-0x00007FF6C17D1000-memory.dmp	xmrig
behavioral2/memory/4616-2067-0x00007FF78B740000-0x00007FF78BB31000-memory.dmp	xmrig
behavioral2/memory/2904-2069-0x00007FF7FC540000-0x00007FF7FC931000-memory.dmp	xmrig
behavioral2/memory/3984-2064-0x00007FF72C9E0000-0x00007FF72CDD1000-memory.dmp	xmrig
behavioral2/memory/5028-2062-0x00007FF645340000-0x00007FF645731000-memory.dmp	xmrig
behavioral2/memory/640-2058-0x00007FF7ED590000-0x00007FF7ED981000-memory.dmp	xmrig
behavioral2/memory/3696-2060-0x00007FF720440000-0x00007FF720831000-memory.dmp	xmrig
behavioral2/memory/3060-2055-0x00007FF711A50000-0x00007FF711E41000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3660	rdznXsf.exe
4368	OTRyQGr.exe
2468	SBhXExo.exe
1832	vFbpDOv.exe
4188	zZNiIVi.exe
4912	FgtaJIs.exe
2444	WDboRUM.exe
2132	vMiGyzm.exe
212	OewEXUK.exe
5004	DKZqYXu.exe
3296	RtxqfQU.exe
2760	egtrKHY.exe
4112	kHDUVZu.exe
2952	RukkbjE.exe
4976	XeZdfBK.exe
4392	HiRhlpg.exe
2904	okJEmUN.exe
4616	erLFxfS.exe
3636	HxcMasS.exe
640	OMYVspj.exe
3060	AQILNCR.exe
3696	SDwrxbI.exe
5028	QwEetAw.exe
3984	lkacjYx.exe
4868	hAjUkvB.exe
3412	pQxfPFS.exe
2220	LkLTJXN.exe
2496	tHNeQZi.exe
4632	IEOgecZ.exe
1092	EbYFQCE.exe
3180	bHbUUGN.exe
804	qBkzaOn.exe
2540	queBnfZ.exe
864	wwoDnCQ.exe
2864	MBGenfB.exe
1232	tiJYKMF.exe
1384	uAPAqQj.exe
3400	fgKSyCX.exe
4888	uYucuIX.exe
5036	jokoKtG.exe
5060	zafCQDT.exe
4304	ebblYhM.exe
4272	Tyixnwj.exe
4716	FJgItxB.exe
4840	KrRrqDw.exe
932	JERytPa.exe
2004	TlCIrne.exe
2908	zPETruL.exe
1968	mqkTTyi.exe
4360	QOtaOpJ.exe
3360	PQpvQFm.exe
1876	ZvXmhOg.exe
4008	PqFSBRb.exe
2208	rdIIXff.exe
448	UJbOMfy.exe
376	paERpUk.exe
4792	FmQtlEg.exe
3152	CjkrwKR.exe
4596	JXilJJh.exe
1680	iZidnhp.exe
2860	SdOKhNh.exe
3540	zRoePGF.exe
4612	GMDAdSk.exe
412	fpyaNfM.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1972-0-0x00007FF7D3880000-0x00007FF7D3C71000-memory.dmp	upx
behavioral2/files/0x00080000000234a9-5.dat	upx
behavioral2/files/0x00070000000234ae-10.dat	upx
behavioral2/memory/4368-17-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp	upx
behavioral2/files/0x00070000000234af-20.dat	upx
behavioral2/files/0x00070000000234b1-33.dat	upx
behavioral2/files/0x00070000000234b2-38.dat	upx
behavioral2/files/0x00070000000234b5-54.dat	upx
behavioral2/files/0x00070000000234b7-60.dat	upx
behavioral2/files/0x00070000000234b8-64.dat	upx
behavioral2/files/0x00070000000234b9-76.dat	upx
behavioral2/files/0x00070000000234bc-91.dat	upx
behavioral2/files/0x00070000000234c5-136.dat	upx
behavioral2/files/0x00070000000234c7-146.dat	upx
behavioral2/files/0x00070000000234ca-161.dat	upx
behavioral2/memory/4188-342-0x00007FF6658C0000-0x00007FF665CB1000-memory.dmp	upx
behavioral2/memory/2468-340-0x00007FF635D70000-0x00007FF636161000-memory.dmp	upx
behavioral2/memory/4912-343-0x00007FF780DE0000-0x00007FF7811D1000-memory.dmp	upx
behavioral2/memory/2444-344-0x00007FF643100000-0x00007FF6434F1000-memory.dmp	upx
behavioral2/memory/2132-345-0x00007FF6EB560000-0x00007FF6EB951000-memory.dmp	upx
behavioral2/memory/212-346-0x00007FF7DFC60000-0x00007FF7E0051000-memory.dmp	upx
behavioral2/memory/5004-347-0x00007FF6160C0000-0x00007FF6164B1000-memory.dmp	upx
behavioral2/memory/2760-351-0x00007FF780650000-0x00007FF780A41000-memory.dmp	upx
behavioral2/memory/3296-348-0x00007FF7E92A0000-0x00007FF7E9691000-memory.dmp	upx
behavioral2/memory/4112-355-0x00007FF744380000-0x00007FF744771000-memory.dmp	upx
behavioral2/memory/2904-382-0x00007FF7FC540000-0x00007FF7FC931000-memory.dmp	upx
behavioral2/memory/3636-393-0x00007FF6C13E0000-0x00007FF6C17D1000-memory.dmp	upx
behavioral2/memory/640-403-0x00007FF7ED590000-0x00007FF7ED981000-memory.dmp	upx
behavioral2/memory/3984-429-0x00007FF72C9E0000-0x00007FF72CDD1000-memory.dmp	upx
behavioral2/memory/1832-433-0x00007FF72A220000-0x00007FF72A611000-memory.dmp	upx
behavioral2/memory/5028-414-0x00007FF645340000-0x00007FF645731000-memory.dmp	upx
behavioral2/memory/3696-407-0x00007FF720440000-0x00007FF720831000-memory.dmp	upx
behavioral2/memory/3060-405-0x00007FF711A50000-0x00007FF711E41000-memory.dmp	upx
behavioral2/memory/4616-386-0x00007FF78B740000-0x00007FF78BB31000-memory.dmp	upx
behavioral2/memory/4392-381-0x00007FF7310C0000-0x00007FF7314B1000-memory.dmp	upx
behavioral2/memory/4976-377-0x00007FF673EC0000-0x00007FF6742B1000-memory.dmp	upx
behavioral2/memory/2952-363-0x00007FF767C20000-0x00007FF768011000-memory.dmp	upx
behavioral2/files/0x00070000000234cc-164.dat	upx
behavioral2/files/0x00070000000234cb-159.dat	upx
behavioral2/files/0x00070000000234c9-153.dat	upx
behavioral2/files/0x00070000000234c8-148.dat	upx
behavioral2/files/0x00070000000234c6-141.dat	upx
behavioral2/files/0x00070000000234c4-131.dat	upx
behavioral2/files/0x00070000000234c3-126.dat	upx
behavioral2/files/0x00070000000234c2-118.dat	upx
behavioral2/files/0x00070000000234c1-113.dat	upx
behavioral2/files/0x00070000000234c0-111.dat	upx
behavioral2/files/0x00070000000234bf-103.dat	upx
behavioral2/files/0x00070000000234be-98.dat	upx
behavioral2/files/0x00070000000234bd-93.dat	upx
behavioral2/files/0x00070000000234bb-86.dat	upx
behavioral2/files/0x00070000000234ba-81.dat	upx
behavioral2/files/0x00070000000234b6-61.dat	upx
behavioral2/files/0x00070000000234b4-48.dat	upx
behavioral2/files/0x00070000000234b3-43.dat	upx
behavioral2/files/0x00070000000234b0-26.dat	upx
behavioral2/memory/3660-12-0x00007FF66D910000-0x00007FF66DD01000-memory.dmp	upx
behavioral2/files/0x00070000000234ad-9.dat	upx
behavioral2/memory/4368-2012-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp	upx
behavioral2/memory/2468-2013-0x00007FF635D70000-0x00007FF636161000-memory.dmp	upx
behavioral2/memory/3660-2019-0x00007FF66D910000-0x00007FF66DD01000-memory.dmp	upx
behavioral2/memory/4368-2021-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp	upx
behavioral2/memory/2468-2027-0x00007FF635D70000-0x00007FF636161000-memory.dmp	upx
behavioral2/memory/4188-2025-0x00007FF6658C0000-0x00007FF665CB1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\mhIGrhA.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\wvYtKMV.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\FmdELFu.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\WZkPboW.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\RECyhIR.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\zGqdwoX.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\RCNiehF.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\xegWQZZ.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\hrFidbV.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\imdXUTz.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\lBbJwYO.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\uAfOBml.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\JcCqOkY.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\tiSiaOS.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\ZxcAkJd.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\ZvXmhOg.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\SWUJQQX.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\ZscUmPz.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\CxKZrDR.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\VzKAMPc.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\uXcJyBG.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\qrMwAKB.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\DEyQwhT.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\JERytPa.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\UPYcMMd.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\evaZGej.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\OzSuWKd.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\nelWQCC.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\shQYqQB.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\FcXUQVa.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\PkbtQkT.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\eELJFhi.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\npreOlS.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\UcYJmzT.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\lOJfpBi.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\fqcmfkO.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\EbYFQCE.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\IGPCSSG.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\MfPyMuk.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\YyMlsdX.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\SoGGXuD.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\HNYUZbk.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\bGLasDq.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\OjIlXNu.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\ZMFapru.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\mjPaLzJ.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\JZktOqF.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\RxNQpGt.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\KfQTlVh.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\FdoLHPv.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\YzfvBtj.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\wmonGjF.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\tWRQrry.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\TCmkAXp.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\hoQZJJN.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\aGdNmRy.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\ilHwjoZ.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\nNRSUjU.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\CjkrwKR.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\DHhOMiK.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\ysAbZoN.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\WeFERhb.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\gtarhFt.exe	2146e56e89ddb0b76fb42f282e767070N.exe
File created	C:\Windows\System32\MPcKQTt.exe	2146e56e89ddb0b76fb42f282e767070N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12588	dwm.exe
Token: SeChangeNotifyPrivilege	12588	dwm.exe
Token: 33	12588	dwm.exe
Token: SeIncBasePriorityPrivilege	12588	dwm.exe
Token: SeShutdownPrivilege	12588	dwm.exe
Token: SeCreatePagefilePrivilege	12588	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1972 wrote to memory of 3660	1972	2146e56e89ddb0b76fb42f282e767070N.exe	85
PID 1972 wrote to memory of 3660	1972	2146e56e89ddb0b76fb42f282e767070N.exe	85
PID 1972 wrote to memory of 4368	1972	2146e56e89ddb0b76fb42f282e767070N.exe	86
PID 1972 wrote to memory of 4368	1972	2146e56e89ddb0b76fb42f282e767070N.exe	86
PID 1972 wrote to memory of 2468	1972	2146e56e89ddb0b76fb42f282e767070N.exe	87
PID 1972 wrote to memory of 2468	1972	2146e56e89ddb0b76fb42f282e767070N.exe	87
PID 1972 wrote to memory of 1832	1972	2146e56e89ddb0b76fb42f282e767070N.exe	88
PID 1972 wrote to memory of 1832	1972	2146e56e89ddb0b76fb42f282e767070N.exe	88
PID 1972 wrote to memory of 4188	1972	2146e56e89ddb0b76fb42f282e767070N.exe	89
PID 1972 wrote to memory of 4188	1972	2146e56e89ddb0b76fb42f282e767070N.exe	89
PID 1972 wrote to memory of 4912	1972	2146e56e89ddb0b76fb42f282e767070N.exe	90
PID 1972 wrote to memory of 4912	1972	2146e56e89ddb0b76fb42f282e767070N.exe	90
PID 1972 wrote to memory of 2444	1972	2146e56e89ddb0b76fb42f282e767070N.exe	91
PID 1972 wrote to memory of 2444	1972	2146e56e89ddb0b76fb42f282e767070N.exe	91
PID 1972 wrote to memory of 2132	1972	2146e56e89ddb0b76fb42f282e767070N.exe	92
PID 1972 wrote to memory of 2132	1972	2146e56e89ddb0b76fb42f282e767070N.exe	92
PID 1972 wrote to memory of 212	1972	2146e56e89ddb0b76fb42f282e767070N.exe	93
PID 1972 wrote to memory of 212	1972	2146e56e89ddb0b76fb42f282e767070N.exe	93
PID 1972 wrote to memory of 5004	1972	2146e56e89ddb0b76fb42f282e767070N.exe	94
PID 1972 wrote to memory of 5004	1972	2146e56e89ddb0b76fb42f282e767070N.exe	94
PID 1972 wrote to memory of 3296	1972	2146e56e89ddb0b76fb42f282e767070N.exe	95
PID 1972 wrote to memory of 3296	1972	2146e56e89ddb0b76fb42f282e767070N.exe	95
PID 1972 wrote to memory of 2760	1972	2146e56e89ddb0b76fb42f282e767070N.exe	96
PID 1972 wrote to memory of 2760	1972	2146e56e89ddb0b76fb42f282e767070N.exe	96
PID 1972 wrote to memory of 4112	1972	2146e56e89ddb0b76fb42f282e767070N.exe	97
PID 1972 wrote to memory of 4112	1972	2146e56e89ddb0b76fb42f282e767070N.exe	97
PID 1972 wrote to memory of 2952	1972	2146e56e89ddb0b76fb42f282e767070N.exe	98
PID 1972 wrote to memory of 2952	1972	2146e56e89ddb0b76fb42f282e767070N.exe	98
PID 1972 wrote to memory of 4976	1972	2146e56e89ddb0b76fb42f282e767070N.exe	99
PID 1972 wrote to memory of 4976	1972	2146e56e89ddb0b76fb42f282e767070N.exe	99
PID 1972 wrote to memory of 4392	1972	2146e56e89ddb0b76fb42f282e767070N.exe	100
PID 1972 wrote to memory of 4392	1972	2146e56e89ddb0b76fb42f282e767070N.exe	100
PID 1972 wrote to memory of 2904	1972	2146e56e89ddb0b76fb42f282e767070N.exe	101
PID 1972 wrote to memory of 2904	1972	2146e56e89ddb0b76fb42f282e767070N.exe	101
PID 1972 wrote to memory of 4616	1972	2146e56e89ddb0b76fb42f282e767070N.exe	102
PID 1972 wrote to memory of 4616	1972	2146e56e89ddb0b76fb42f282e767070N.exe	102
PID 1972 wrote to memory of 3636	1972	2146e56e89ddb0b76fb42f282e767070N.exe	103
PID 1972 wrote to memory of 3636	1972	2146e56e89ddb0b76fb42f282e767070N.exe	103
PID 1972 wrote to memory of 640	1972	2146e56e89ddb0b76fb42f282e767070N.exe	104
PID 1972 wrote to memory of 640	1972	2146e56e89ddb0b76fb42f282e767070N.exe	104
PID 1972 wrote to memory of 3060	1972	2146e56e89ddb0b76fb42f282e767070N.exe	105
PID 1972 wrote to memory of 3060	1972	2146e56e89ddb0b76fb42f282e767070N.exe	105
PID 1972 wrote to memory of 3696	1972	2146e56e89ddb0b76fb42f282e767070N.exe	106
PID 1972 wrote to memory of 3696	1972	2146e56e89ddb0b76fb42f282e767070N.exe	106
PID 1972 wrote to memory of 5028	1972	2146e56e89ddb0b76fb42f282e767070N.exe	107
PID 1972 wrote to memory of 5028	1972	2146e56e89ddb0b76fb42f282e767070N.exe	107
PID 1972 wrote to memory of 3984	1972	2146e56e89ddb0b76fb42f282e767070N.exe	108
PID 1972 wrote to memory of 3984	1972	2146e56e89ddb0b76fb42f282e767070N.exe	108
PID 1972 wrote to memory of 4868	1972	2146e56e89ddb0b76fb42f282e767070N.exe	109
PID 1972 wrote to memory of 4868	1972	2146e56e89ddb0b76fb42f282e767070N.exe	109
PID 1972 wrote to memory of 3412	1972	2146e56e89ddb0b76fb42f282e767070N.exe	110
PID 1972 wrote to memory of 3412	1972	2146e56e89ddb0b76fb42f282e767070N.exe	110
PID 1972 wrote to memory of 2220	1972	2146e56e89ddb0b76fb42f282e767070N.exe	111
PID 1972 wrote to memory of 2220	1972	2146e56e89ddb0b76fb42f282e767070N.exe	111
PID 1972 wrote to memory of 2496	1972	2146e56e89ddb0b76fb42f282e767070N.exe	112
PID 1972 wrote to memory of 2496	1972	2146e56e89ddb0b76fb42f282e767070N.exe	112
PID 1972 wrote to memory of 4632	1972	2146e56e89ddb0b76fb42f282e767070N.exe	113
PID 1972 wrote to memory of 4632	1972	2146e56e89ddb0b76fb42f282e767070N.exe	113
PID 1972 wrote to memory of 1092	1972	2146e56e89ddb0b76fb42f282e767070N.exe	114
PID 1972 wrote to memory of 1092	1972	2146e56e89ddb0b76fb42f282e767070N.exe	114
PID 1972 wrote to memory of 3180	1972	2146e56e89ddb0b76fb42f282e767070N.exe	115
PID 1972 wrote to memory of 3180	1972	2146e56e89ddb0b76fb42f282e767070N.exe	115
PID 1972 wrote to memory of 804	1972	2146e56e89ddb0b76fb42f282e767070N.exe	116
PID 1972 wrote to memory of 804	1972	2146e56e89ddb0b76fb42f282e767070N.exe	116

C:\Users\Admin\AppData\Local\Temp\2146e56e89ddb0b76fb42f282e767070N.exe
"C:\Users\Admin\AppData\Local\Temp\2146e56e89ddb0b76fb42f282e767070N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1972
- C:\Windows\System32\rdznXsf.exe
  C:\Windows\System32\rdznXsf.exe
  2⤵
  - Executes dropped EXE
  PID:3660
- C:\Windows\System32\OTRyQGr.exe
  C:\Windows\System32\OTRyQGr.exe
  2⤵
  - Executes dropped EXE
  PID:4368
- C:\Windows\System32\SBhXExo.exe
  C:\Windows\System32\SBhXExo.exe
  2⤵
  - Executes dropped EXE
  PID:2468
- C:\Windows\System32\vFbpDOv.exe
  C:\Windows\System32\vFbpDOv.exe
  2⤵
  - Executes dropped EXE
  PID:1832
- C:\Windows\System32\zZNiIVi.exe
  C:\Windows\System32\zZNiIVi.exe
  2⤵
  - Executes dropped EXE
  PID:4188
- C:\Windows\System32\FgtaJIs.exe
  C:\Windows\System32\FgtaJIs.exe
  2⤵
  - Executes dropped EXE
  PID:4912
- C:\Windows\System32\WDboRUM.exe
  C:\Windows\System32\WDboRUM.exe
  2⤵
  - Executes dropped EXE
  PID:2444
- C:\Windows\System32\vMiGyzm.exe
  C:\Windows\System32\vMiGyzm.exe
  2⤵
  - Executes dropped EXE
  PID:2132
- C:\Windows\System32\OewEXUK.exe
  C:\Windows\System32\OewEXUK.exe
  2⤵
  - Executes dropped EXE
  PID:212
- C:\Windows\System32\DKZqYXu.exe
  C:\Windows\System32\DKZqYXu.exe
  2⤵
  - Executes dropped EXE
  PID:5004
- C:\Windows\System32\RtxqfQU.exe
  C:\Windows\System32\RtxqfQU.exe
  2⤵
  - Executes dropped EXE
  PID:3296
- C:\Windows\System32\egtrKHY.exe
  C:\Windows\System32\egtrKHY.exe
  2⤵
  - Executes dropped EXE
  PID:2760
- C:\Windows\System32\kHDUVZu.exe
  C:\Windows\System32\kHDUVZu.exe
  2⤵
  - Executes dropped EXE
  PID:4112
- C:\Windows\System32\RukkbjE.exe
  C:\Windows\System32\RukkbjE.exe
  2⤵
  - Executes dropped EXE
  PID:2952
- C:\Windows\System32\XeZdfBK.exe
  C:\Windows\System32\XeZdfBK.exe
  2⤵
  - Executes dropped EXE
  PID:4976
- C:\Windows\System32\HiRhlpg.exe
  C:\Windows\System32\HiRhlpg.exe
  2⤵
  - Executes dropped EXE
  PID:4392
- C:\Windows\System32\okJEmUN.exe
  C:\Windows\System32\okJEmUN.exe
  2⤵
  - Executes dropped EXE
  PID:2904
- C:\Windows\System32\erLFxfS.exe
  C:\Windows\System32\erLFxfS.exe
  2⤵
  - Executes dropped EXE
  PID:4616
- C:\Windows\System32\HxcMasS.exe
  C:\Windows\System32\HxcMasS.exe
  2⤵
  - Executes dropped EXE
  PID:3636
- C:\Windows\System32\OMYVspj.exe
  C:\Windows\System32\OMYVspj.exe
  2⤵
  - Executes dropped EXE
  PID:640
- C:\Windows\System32\AQILNCR.exe
  C:\Windows\System32\AQILNCR.exe
  2⤵
  - Executes dropped EXE
  PID:3060
- C:\Windows\System32\SDwrxbI.exe
  C:\Windows\System32\SDwrxbI.exe
  2⤵
  - Executes dropped EXE
  PID:3696
- C:\Windows\System32\QwEetAw.exe
  C:\Windows\System32\QwEetAw.exe
  2⤵
  - Executes dropped EXE
  PID:5028
- C:\Windows\System32\lkacjYx.exe
  C:\Windows\System32\lkacjYx.exe
  2⤵
  - Executes dropped EXE
  PID:3984
- C:\Windows\System32\hAjUkvB.exe
  C:\Windows\System32\hAjUkvB.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\pQxfPFS.exe
  C:\Windows\System32\pQxfPFS.exe
  2⤵
  - Executes dropped EXE
  PID:3412
- C:\Windows\System32\LkLTJXN.exe
  C:\Windows\System32\LkLTJXN.exe
  2⤵
  - Executes dropped EXE
  PID:2220
- C:\Windows\System32\tHNeQZi.exe
  C:\Windows\System32\tHNeQZi.exe
  2⤵
  - Executes dropped EXE
  PID:2496
- C:\Windows\System32\IEOgecZ.exe
  C:\Windows\System32\IEOgecZ.exe
  2⤵
  - Executes dropped EXE
  PID:4632
- C:\Windows\System32\EbYFQCE.exe
  C:\Windows\System32\EbYFQCE.exe
  2⤵
  - Executes dropped EXE
  PID:1092
- C:\Windows\System32\bHbUUGN.exe
  C:\Windows\System32\bHbUUGN.exe
  2⤵
  - Executes dropped EXE
  PID:3180
- C:\Windows\System32\qBkzaOn.exe
  C:\Windows\System32\qBkzaOn.exe
  2⤵
  - Executes dropped EXE
  PID:804
- C:\Windows\System32\queBnfZ.exe
  C:\Windows\System32\queBnfZ.exe
  2⤵
  - Executes dropped EXE
  PID:2540
- C:\Windows\System32\wwoDnCQ.exe
  C:\Windows\System32\wwoDnCQ.exe
  2⤵
  - Executes dropped EXE
  PID:864
- C:\Windows\System32\MBGenfB.exe
  C:\Windows\System32\MBGenfB.exe
  2⤵
  - Executes dropped EXE
  PID:2864
- C:\Windows\System32\tiJYKMF.exe
  C:\Windows\System32\tiJYKMF.exe
  2⤵
  - Executes dropped EXE
  PID:1232
- C:\Windows\System32\uAPAqQj.exe
  C:\Windows\System32\uAPAqQj.exe
  2⤵
  - Executes dropped EXE
  PID:1384
- C:\Windows\System32\fgKSyCX.exe
  C:\Windows\System32\fgKSyCX.exe
  2⤵
  - Executes dropped EXE
  PID:3400
- C:\Windows\System32\uYucuIX.exe
  C:\Windows\System32\uYucuIX.exe
  2⤵
  - Executes dropped EXE
  PID:4888
- C:\Windows\System32\jokoKtG.exe
  C:\Windows\System32\jokoKtG.exe
  2⤵
  - Executes dropped EXE
  PID:5036
- C:\Windows\System32\zafCQDT.exe
  C:\Windows\System32\zafCQDT.exe
  2⤵
  - Executes dropped EXE
  PID:5060
- C:\Windows\System32\ebblYhM.exe
  C:\Windows\System32\ebblYhM.exe
  2⤵
  - Executes dropped EXE
  PID:4304
- C:\Windows\System32\Tyixnwj.exe
  C:\Windows\System32\Tyixnwj.exe
  2⤵
  - Executes dropped EXE
  PID:4272
- C:\Windows\System32\FJgItxB.exe
  C:\Windows\System32\FJgItxB.exe
  2⤵
  - Executes dropped EXE
  PID:4716
- C:\Windows\System32\KrRrqDw.exe
  C:\Windows\System32\KrRrqDw.exe
  2⤵
  - Executes dropped EXE
  PID:4840
- C:\Windows\System32\JERytPa.exe
  C:\Windows\System32\JERytPa.exe
  2⤵
  - Executes dropped EXE
  PID:932
- C:\Windows\System32\TlCIrne.exe
  C:\Windows\System32\TlCIrne.exe
  2⤵
  - Executes dropped EXE
  PID:2004
- C:\Windows\System32\zPETruL.exe
  C:\Windows\System32\zPETruL.exe
  2⤵
  - Executes dropped EXE
  PID:2908
- C:\Windows\System32\mqkTTyi.exe
  C:\Windows\System32\mqkTTyi.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\QOtaOpJ.exe
  C:\Windows\System32\QOtaOpJ.exe
  2⤵
  - Executes dropped EXE
  PID:4360
- C:\Windows\System32\PQpvQFm.exe
  C:\Windows\System32\PQpvQFm.exe
  2⤵
  - Executes dropped EXE
  PID:3360
- C:\Windows\System32\ZvXmhOg.exe
  C:\Windows\System32\ZvXmhOg.exe
  2⤵
  - Executes dropped EXE
  PID:1876
- C:\Windows\System32\PqFSBRb.exe
  C:\Windows\System32\PqFSBRb.exe
  2⤵
  - Executes dropped EXE
  PID:4008
- C:\Windows\System32\rdIIXff.exe
  C:\Windows\System32\rdIIXff.exe
  2⤵
  - Executes dropped EXE
  PID:2208
- C:\Windows\System32\UJbOMfy.exe
  C:\Windows\System32\UJbOMfy.exe
  2⤵
  - Executes dropped EXE
  PID:448
- C:\Windows\System32\paERpUk.exe
  C:\Windows\System32\paERpUk.exe
  2⤵
  - Executes dropped EXE
  PID:376
- C:\Windows\System32\FmQtlEg.exe
  C:\Windows\System32\FmQtlEg.exe
  2⤵
  - Executes dropped EXE
  PID:4792
- C:\Windows\System32\CjkrwKR.exe
  C:\Windows\System32\CjkrwKR.exe
  2⤵
  - Executes dropped EXE
  PID:3152
- C:\Windows\System32\JXilJJh.exe
  C:\Windows\System32\JXilJJh.exe
  2⤵
  - Executes dropped EXE
  PID:4596
- C:\Windows\System32\iZidnhp.exe
  C:\Windows\System32\iZidnhp.exe
  2⤵
  - Executes dropped EXE
  PID:1680
- C:\Windows\System32\SdOKhNh.exe
  C:\Windows\System32\SdOKhNh.exe
  2⤵
  - Executes dropped EXE
  PID:2860
- C:\Windows\System32\zRoePGF.exe
  C:\Windows\System32\zRoePGF.exe
  2⤵
  - Executes dropped EXE
  PID:3540
- C:\Windows\System32\GMDAdSk.exe
  C:\Windows\System32\GMDAdSk.exe
  2⤵
  - Executes dropped EXE
  PID:4612
- C:\Windows\System32\fpyaNfM.exe
  C:\Windows\System32\fpyaNfM.exe
  2⤵
  - Executes dropped EXE
  PID:412
- C:\Windows\System32\pWtSePa.exe
  C:\Windows\System32\pWtSePa.exe
  2⤵
  PID:4624
- C:\Windows\System32\kBGJzPi.exe
  C:\Windows\System32\kBGJzPi.exe
  2⤵
  PID:724
- C:\Windows\System32\JOtlIWI.exe
  C:\Windows\System32\JOtlIWI.exe
  2⤵
  PID:848
- C:\Windows\System32\ruwRjXh.exe
  C:\Windows\System32\ruwRjXh.exe
  2⤵
  PID:540
- C:\Windows\System32\HWYiAcw.exe
  C:\Windows\System32\HWYiAcw.exe
  2⤵
  PID:1664
- C:\Windows\System32\hoQZJJN.exe
  C:\Windows\System32\hoQZJJN.exe
  2⤵
  PID:3952
- C:\Windows\System32\EsZaorv.exe
  C:\Windows\System32\EsZaorv.exe
  2⤵
  PID:3168
- C:\Windows\System32\bPDDpTd.exe
  C:\Windows\System32\bPDDpTd.exe
  2⤵
  PID:2576
- C:\Windows\System32\GPDdOAJ.exe
  C:\Windows\System32\GPDdOAJ.exe
  2⤵
  PID:2900
- C:\Windows\System32\omhKjyc.exe
  C:\Windows\System32\omhKjyc.exe
  2⤵
  PID:4080
- C:\Windows\System32\vGJGHDW.exe
  C:\Windows\System32\vGJGHDW.exe
  2⤵
  PID:3076
- C:\Windows\System32\Icyvdyh.exe
  C:\Windows\System32\Icyvdyh.exe
  2⤵
  PID:4312
- C:\Windows\System32\DHhOMiK.exe
  C:\Windows\System32\DHhOMiK.exe
  2⤵
  PID:2052
- C:\Windows\System32\eaWhGcg.exe
  C:\Windows\System32\eaWhGcg.exe
  2⤵
  PID:3492
- C:\Windows\System32\imdXUTz.exe
  C:\Windows\System32\imdXUTz.exe
  2⤵
  PID:3668
- C:\Windows\System32\LOITjKM.exe
  C:\Windows\System32\LOITjKM.exe
  2⤵
  PID:1220
- C:\Windows\System32\zpBnxZj.exe
  C:\Windows\System32\zpBnxZj.exe
  2⤵
  PID:3532
- C:\Windows\System32\LToxOig.exe
  C:\Windows\System32\LToxOig.exe
  2⤵
  PID:4828
- C:\Windows\System32\LuOwhwu.exe
  C:\Windows\System32\LuOwhwu.exe
  2⤵
  PID:1868
- C:\Windows\System32\BMEfOhz.exe
  C:\Windows\System32\BMEfOhz.exe
  2⤵
  PID:4484
- C:\Windows\System32\XuSzyiw.exe
  C:\Windows\System32\XuSzyiw.exe
  2⤵
  PID:5084
- C:\Windows\System32\eELJFhi.exe
  C:\Windows\System32\eELJFhi.exe
  2⤵
  PID:3844
- C:\Windows\System32\QfspGFo.exe
  C:\Windows\System32\QfspGFo.exe
  2⤵
  PID:4780
- C:\Windows\System32\YswKsxb.exe
  C:\Windows\System32\YswKsxb.exe
  2⤵
  PID:2856
- C:\Windows\System32\rolPkmN.exe
  C:\Windows\System32\rolPkmN.exe
  2⤵
  PID:4952
- C:\Windows\System32\WuqxZXc.exe
  C:\Windows\System32\WuqxZXc.exe
  2⤵
  PID:3716
- C:\Windows\System32\yPslTRb.exe
  C:\Windows\System32\yPslTRb.exe
  2⤵
  PID:2400
- C:\Windows\System32\tcoPUvs.exe
  C:\Windows\System32\tcoPUvs.exe
  2⤵
  PID:5176
- C:\Windows\System32\OdzCDIH.exe
  C:\Windows\System32\OdzCDIH.exe
  2⤵
  PID:5204
- C:\Windows\System32\mhIGrhA.exe
  C:\Windows\System32\mhIGrhA.exe
  2⤵
  PID:5220
- C:\Windows\System32\CwsyNuC.exe
  C:\Windows\System32\CwsyNuC.exe
  2⤵
  PID:5244
- C:\Windows\System32\BheUtgR.exe
  C:\Windows\System32\BheUtgR.exe
  2⤵
  PID:5260
- C:\Windows\System32\oedmAHy.exe
  C:\Windows\System32\oedmAHy.exe
  2⤵
  PID:5280
- C:\Windows\System32\OPHuIlW.exe
  C:\Windows\System32\OPHuIlW.exe
  2⤵
  PID:5324
- C:\Windows\System32\YzfvBtj.exe
  C:\Windows\System32\YzfvBtj.exe
  2⤵
  PID:5352
- C:\Windows\System32\afrevKl.exe
  C:\Windows\System32\afrevKl.exe
  2⤵
  PID:5376
- C:\Windows\System32\xUymCMW.exe
  C:\Windows\System32\xUymCMW.exe
  2⤵
  PID:5396
- C:\Windows\System32\OEJbroS.exe
  C:\Windows\System32\OEJbroS.exe
  2⤵
  PID:5468
- C:\Windows\System32\embulRC.exe
  C:\Windows\System32\embulRC.exe
  2⤵
  PID:5488
- C:\Windows\System32\jFrUcro.exe
  C:\Windows\System32\jFrUcro.exe
  2⤵
  PID:5512
- C:\Windows\System32\JyFkzvZ.exe
  C:\Windows\System32\JyFkzvZ.exe
  2⤵
  PID:5536
- C:\Windows\System32\pynfwUb.exe
  C:\Windows\System32\pynfwUb.exe
  2⤵
  PID:5584
- C:\Windows\System32\IhRavTi.exe
  C:\Windows\System32\IhRavTi.exe
  2⤵
  PID:5600
- C:\Windows\System32\NubMHXO.exe
  C:\Windows\System32\NubMHXO.exe
  2⤵
  PID:5616
- C:\Windows\System32\GvsEHGW.exe
  C:\Windows\System32\GvsEHGW.exe
  2⤵
  PID:5648
- C:\Windows\System32\byhLzDm.exe
  C:\Windows\System32\byhLzDm.exe
  2⤵
  PID:5732
- C:\Windows\System32\ihmcqGV.exe
  C:\Windows\System32\ihmcqGV.exe
  2⤵
  PID:5752
- C:\Windows\System32\qimXwvz.exe
  C:\Windows\System32\qimXwvz.exe
  2⤵
  PID:5768
- C:\Windows\System32\pHdkELG.exe
  C:\Windows\System32\pHdkELG.exe
  2⤵
  PID:5788
- C:\Windows\System32\uGrBhaN.exe
  C:\Windows\System32\uGrBhaN.exe
  2⤵
  PID:5804
- C:\Windows\System32\wmonGjF.exe
  C:\Windows\System32\wmonGjF.exe
  2⤵
  PID:5820
- C:\Windows\System32\ofbajSC.exe
  C:\Windows\System32\ofbajSC.exe
  2⤵
  PID:5836
- C:\Windows\System32\tPjANhE.exe
  C:\Windows\System32\tPjANhE.exe
  2⤵
  PID:5852
- C:\Windows\System32\TqJEUKS.exe
  C:\Windows\System32\TqJEUKS.exe
  2⤵
  PID:5884
- C:\Windows\System32\qaeVfgC.exe
  C:\Windows\System32\qaeVfgC.exe
  2⤵
  PID:5908
- C:\Windows\System32\pjqSZYU.exe
  C:\Windows\System32\pjqSZYU.exe
  2⤵
  PID:5924
- C:\Windows\System32\ZwwkMOr.exe
  C:\Windows\System32\ZwwkMOr.exe
  2⤵
  PID:5940
- C:\Windows\System32\Lglqnoj.exe
  C:\Windows\System32\Lglqnoj.exe
  2⤵
  PID:5956
- C:\Windows\System32\mtZdobT.exe
  C:\Windows\System32\mtZdobT.exe
  2⤵
  PID:6108
- C:\Windows\System32\cYPOWWf.exe
  C:\Windows\System32\cYPOWWf.exe
  2⤵
  PID:6136
- C:\Windows\System32\xLhwoyB.exe
  C:\Windows\System32\xLhwoyB.exe
  2⤵
  PID:4516
- C:\Windows\System32\UVLQFUm.exe
  C:\Windows\System32\UVLQFUm.exe
  2⤵
  PID:4336
- C:\Windows\System32\yVRgfGn.exe
  C:\Windows\System32\yVRgfGn.exe
  2⤵
  PID:4592
- C:\Windows\System32\lBbJwYO.exe
  C:\Windows\System32\lBbJwYO.exe
  2⤵
  PID:1776
- C:\Windows\System32\HKRlUwc.exe
  C:\Windows\System32\HKRlUwc.exe
  2⤵
  PID:4248
- C:\Windows\System32\LNCOmQn.exe
  C:\Windows\System32\LNCOmQn.exe
  2⤵
  PID:404
- C:\Windows\System32\OBtlnit.exe
  C:\Windows\System32\OBtlnit.exe
  2⤵
  PID:4824
- C:\Windows\System32\wfGBqlX.exe
  C:\Windows\System32\wfGBqlX.exe
  2⤵
  PID:1072
- C:\Windows\System32\VSnNozs.exe
  C:\Windows\System32\VSnNozs.exe
  2⤵
  PID:4460
- C:\Windows\System32\MYnoYfu.exe
  C:\Windows\System32\MYnoYfu.exe
  2⤵
  PID:2964
- C:\Windows\System32\qocESbO.exe
  C:\Windows\System32\qocESbO.exe
  2⤵
  PID:3548
- C:\Windows\System32\AUQbZKi.exe
  C:\Windows\System32\AUQbZKi.exe
  2⤵
  PID:2960
- C:\Windows\System32\qdvErrG.exe
  C:\Windows\System32\qdvErrG.exe
  2⤵
  PID:5296
- C:\Windows\System32\azZEPdI.exe
  C:\Windows\System32\azZEPdI.exe
  2⤵
  PID:5420
- C:\Windows\System32\jkrlrCy.exe
  C:\Windows\System32\jkrlrCy.exe
  2⤵
  PID:5392
- C:\Windows\System32\arIPjLJ.exe
  C:\Windows\System32\arIPjLJ.exe
  2⤵
  PID:5508
- C:\Windows\System32\DcmKrrL.exe
  C:\Windows\System32\DcmKrrL.exe
  2⤵
  PID:5532
- C:\Windows\System32\mfdtDTP.exe
  C:\Windows\System32\mfdtDTP.exe
  2⤵
  PID:5628
- C:\Windows\System32\IWOiwTI.exe
  C:\Windows\System32\IWOiwTI.exe
  2⤵
  PID:5688
- C:\Windows\System32\hIpvwzZ.exe
  C:\Windows\System32\hIpvwzZ.exe
  2⤵
  PID:5724
- C:\Windows\System32\aLuXyHJ.exe
  C:\Windows\System32\aLuXyHJ.exe
  2⤵
  PID:5800
- C:\Windows\System32\hkUXzhC.exe
  C:\Windows\System32\hkUXzhC.exe
  2⤵
  PID:5796
- C:\Windows\System32\asfHlQP.exe
  C:\Windows\System32\asfHlQP.exe
  2⤵
  PID:2528
- C:\Windows\System32\xQZeKmS.exe
  C:\Windows\System32\xQZeKmS.exe
  2⤵
  PID:6080
- C:\Windows\System32\jREtrGd.exe
  C:\Windows\System32\jREtrGd.exe
  2⤵
  PID:6096
- C:\Windows\System32\iBsZnZW.exe
  C:\Windows\System32\iBsZnZW.exe
  2⤵
  PID:1804
- C:\Windows\System32\cdFIsYE.exe
  C:\Windows\System32\cdFIsYE.exe
  2⤵
  PID:2640
- C:\Windows\System32\tDgKqbi.exe
  C:\Windows\System32\tDgKqbi.exe
  2⤵
  PID:4168
- C:\Windows\System32\CnHbmyv.exe
  C:\Windows\System32\CnHbmyv.exe
  2⤵
  PID:4804
- C:\Windows\System32\xRutUdS.exe
  C:\Windows\System32\xRutUdS.exe
  2⤵
  PID:3040
- C:\Windows\System32\DoTxCbZ.exe
  C:\Windows\System32\DoTxCbZ.exe
  2⤵
  PID:3092
- C:\Windows\System32\JZktOqF.exe
  C:\Windows\System32\JZktOqF.exe
  2⤵
  PID:224
- C:\Windows\System32\aIMLwfq.exe
  C:\Windows\System32\aIMLwfq.exe
  2⤵
  PID:5544
- C:\Windows\System32\dwJkJuV.exe
  C:\Windows\System32\dwJkJuV.exe
  2⤵
  PID:5660
- C:\Windows\System32\JxqGQnu.exe
  C:\Windows\System32\JxqGQnu.exe
  2⤵
  PID:5892
- C:\Windows\System32\ukmBThD.exe
  C:\Windows\System32\ukmBThD.exe
  2⤵
  PID:5780
- C:\Windows\System32\GedYrBB.exe
  C:\Windows\System32\GedYrBB.exe
  2⤵
  PID:3120
- C:\Windows\System32\ysAbZoN.exe
  C:\Windows\System32\ysAbZoN.exe
  2⤵
  PID:4580
- C:\Windows\System32\vXoHrjD.exe
  C:\Windows\System32\vXoHrjD.exe
  2⤵
  PID:5564
- C:\Windows\System32\ijhEbUH.exe
  C:\Windows\System32\ijhEbUH.exe
  2⤵
  PID:5744
- C:\Windows\System32\zWdayKS.exe
  C:\Windows\System32\zWdayKS.exe
  2⤵
  PID:1940
- C:\Windows\System32\NAFAvvU.exe
  C:\Windows\System32\NAFAvvU.exe
  2⤵
  PID:4876
- C:\Windows\System32\KlUdSxo.exe
  C:\Windows\System32\KlUdSxo.exe
  2⤵
  PID:5932
- C:\Windows\System32\WeFERhb.exe
  C:\Windows\System32\WeFERhb.exe
  2⤵
  PID:2364
- C:\Windows\System32\UtvHHYr.exe
  C:\Windows\System32\UtvHHYr.exe
  2⤵
  PID:6160
- C:\Windows\System32\juKDnzD.exe
  C:\Windows\System32\juKDnzD.exe
  2⤵
  PID:6208
- C:\Windows\System32\IGPCSSG.exe
  C:\Windows\System32\IGPCSSG.exe
  2⤵
  PID:6224
- C:\Windows\System32\pLvZQDe.exe
  C:\Windows\System32\pLvZQDe.exe
  2⤵
  PID:6244
- C:\Windows\System32\vqykkVS.exe
  C:\Windows\System32\vqykkVS.exe
  2⤵
  PID:6296
- C:\Windows\System32\yEOUzMg.exe
  C:\Windows\System32\yEOUzMg.exe
  2⤵
  PID:6320
- C:\Windows\System32\AJUWyzX.exe
  C:\Windows\System32\AJUWyzX.exe
  2⤵
  PID:6340
- C:\Windows\System32\wvYtKMV.exe
  C:\Windows\System32\wvYtKMV.exe
  2⤵
  PID:6360
- C:\Windows\System32\lwyyySp.exe
  C:\Windows\System32\lwyyySp.exe
  2⤵
  PID:6388
- C:\Windows\System32\yglXMTX.exe
  C:\Windows\System32\yglXMTX.exe
  2⤵
  PID:6408
- C:\Windows\System32\YlbBXgg.exe
  C:\Windows\System32\YlbBXgg.exe
  2⤵
  PID:6460
- C:\Windows\System32\rmxrFVb.exe
  C:\Windows\System32\rmxrFVb.exe
  2⤵
  PID:6492
- C:\Windows\System32\NlEwiRx.exe
  C:\Windows\System32\NlEwiRx.exe
  2⤵
  PID:6520
- C:\Windows\System32\DqmCTKY.exe
  C:\Windows\System32\DqmCTKY.exe
  2⤵
  PID:6572
- C:\Windows\System32\YSxUBRV.exe
  C:\Windows\System32\YSxUBRV.exe
  2⤵
  PID:6596
- C:\Windows\System32\DzUyELK.exe
  C:\Windows\System32\DzUyELK.exe
  2⤵
  PID:6620
- C:\Windows\System32\RxNQpGt.exe
  C:\Windows\System32\RxNQpGt.exe
  2⤵
  PID:6636
- C:\Windows\System32\lOJfpBi.exe
  C:\Windows\System32\lOJfpBi.exe
  2⤵
  PID:6664
- C:\Windows\System32\asEGThi.exe
  C:\Windows\System32\asEGThi.exe
  2⤵
  PID:6688
- C:\Windows\System32\qTOcnUA.exe
  C:\Windows\System32\qTOcnUA.exe
  2⤵
  PID:6716
- C:\Windows\System32\qXbEnTj.exe
  C:\Windows\System32\qXbEnTj.exe
  2⤵
  PID:6748
- C:\Windows\System32\UhPWWMd.exe
  C:\Windows\System32\UhPWWMd.exe
  2⤵
  PID:6784
- C:\Windows\System32\FpcKMkc.exe
  C:\Windows\System32\FpcKMkc.exe
  2⤵
  PID:6804
- C:\Windows\System32\difPzKN.exe
  C:\Windows\System32\difPzKN.exe
  2⤵
  PID:6828
- C:\Windows\System32\xGKdYmF.exe
  C:\Windows\System32\xGKdYmF.exe
  2⤵
  PID:6852
- C:\Windows\System32\cfVftVU.exe
  C:\Windows\System32\cfVftVU.exe
  2⤵
  PID:6892
- C:\Windows\System32\lCPUbJe.exe
  C:\Windows\System32\lCPUbJe.exe
  2⤵
  PID:6916
- C:\Windows\System32\sPoWOEf.exe
  C:\Windows\System32\sPoWOEf.exe
  2⤵
  PID:6932
- C:\Windows\System32\SfoecaB.exe
  C:\Windows\System32\SfoecaB.exe
  2⤵
  PID:6952
- C:\Windows\System32\rQIrADC.exe
  C:\Windows\System32\rQIrADC.exe
  2⤵
  PID:7012
- C:\Windows\System32\QMnPapc.exe
  C:\Windows\System32\QMnPapc.exe
  2⤵
  PID:7036
- C:\Windows\System32\MfPyMuk.exe
  C:\Windows\System32\MfPyMuk.exe
  2⤵
  PID:7064
- C:\Windows\System32\PCRfryj.exe
  C:\Windows\System32\PCRfryj.exe
  2⤵
  PID:7092
- C:\Windows\System32\jWveaLg.exe
  C:\Windows\System32\jWveaLg.exe
  2⤵
  PID:7112
- C:\Windows\System32\Ojlbylm.exe
  C:\Windows\System32\Ojlbylm.exe
  2⤵
  PID:7132
- C:\Windows\System32\kmClSuV.exe
  C:\Windows\System32\kmClSuV.exe
  2⤵
  PID:7164
- C:\Windows\System32\eTWxSMF.exe
  C:\Windows\System32\eTWxSMF.exe
  2⤵
  PID:6152
- C:\Windows\System32\vvZnmHW.exe
  C:\Windows\System32\vvZnmHW.exe
  2⤵
  PID:6220
- C:\Windows\System32\uZUKlVn.exe
  C:\Windows\System32\uZUKlVn.exe
  2⤵
  PID:6304
- C:\Windows\System32\SoSLifT.exe
  C:\Windows\System32\SoSLifT.exe
  2⤵
  PID:6312
- C:\Windows\System32\lPcXenW.exe
  C:\Windows\System32\lPcXenW.exe
  2⤵
  PID:6444
- C:\Windows\System32\mLbYQEy.exe
  C:\Windows\System32\mLbYQEy.exe
  2⤵
  PID:6468
- C:\Windows\System32\bwgFpTR.exe
  C:\Windows\System32\bwgFpTR.exe
  2⤵
  PID:5156
- C:\Windows\System32\UXvdsVA.exe
  C:\Windows\System32\UXvdsVA.exe
  2⤵
  PID:6608
- C:\Windows\System32\jnUKQGP.exe
  C:\Windows\System32\jnUKQGP.exe
  2⤵
  PID:6672
- C:\Windows\System32\PWGsvOK.exe
  C:\Windows\System32\PWGsvOK.exe
  2⤵
  PID:6708
- C:\Windows\System32\wkvQhoe.exe
  C:\Windows\System32\wkvQhoe.exe
  2⤵
  PID:6736
- C:\Windows\System32\kHvKfIS.exe
  C:\Windows\System32\kHvKfIS.exe
  2⤵
  PID:6824
- C:\Windows\System32\IOibmdd.exe
  C:\Windows\System32\IOibmdd.exe
  2⤵
  PID:6848
- C:\Windows\System32\ejCsDyC.exe
  C:\Windows\System32\ejCsDyC.exe
  2⤵
  PID:5920
- C:\Windows\System32\lmhkRdN.exe
  C:\Windows\System32\lmhkRdN.exe
  2⤵
  PID:6924
- C:\Windows\System32\tWRQrry.exe
  C:\Windows\System32\tWRQrry.exe
  2⤵
  PID:6980
- C:\Windows\System32\wMzvqmj.exe
  C:\Windows\System32\wMzvqmj.exe
  2⤵
  PID:7032
- C:\Windows\System32\rxnbhRE.exe
  C:\Windows\System32\rxnbhRE.exe
  2⤵
  PID:7044
- C:\Windows\System32\hNWBtmi.exe
  C:\Windows\System32\hNWBtmi.exe
  2⤵
  PID:7120
- C:\Windows\System32\VISEevn.exe
  C:\Windows\System32\VISEevn.exe
  2⤵
  PID:1468
- C:\Windows\System32\FueKUEI.exe
  C:\Windows\System32\FueKUEI.exe
  2⤵
  PID:5172
- C:\Windows\System32\ZiNaOnt.exe
  C:\Windows\System32\ZiNaOnt.exe
  2⤵
  PID:6528
- C:\Windows\System32\vltNQcX.exe
  C:\Windows\System32\vltNQcX.exe
  2⤵
  PID:6700
- C:\Windows\System32\KfQTlVh.exe
  C:\Windows\System32\KfQTlVh.exe
  2⤵
  PID:5448
- C:\Windows\System32\aaOhmpb.exe
  C:\Windows\System32\aaOhmpb.exe
  2⤵
  PID:5636
- C:\Windows\System32\dcLykAG.exe
  C:\Windows\System32\dcLykAG.exe
  2⤵
  PID:7128
- C:\Windows\System32\qzyotGS.exe
  C:\Windows\System32\qzyotGS.exe
  2⤵
  PID:7160
- C:\Windows\System32\CWCuSOY.exe
  C:\Windows\System32\CWCuSOY.exe
  2⤵
  PID:6204
- C:\Windows\System32\mQzmiTb.exe
  C:\Windows\System32\mQzmiTb.exe
  2⤵
  PID:6476
- C:\Windows\System32\zvNtTxg.exe
  C:\Windows\System32\zvNtTxg.exe
  2⤵
  PID:6880
- C:\Windows\System32\hwxRukb.exe
  C:\Windows\System32\hwxRukb.exe
  2⤵
  PID:7104
- C:\Windows\System32\CwhXHlp.exe
  C:\Windows\System32\CwhXHlp.exe
  2⤵
  PID:6772
- C:\Windows\System32\blMupIS.exe
  C:\Windows\System32\blMupIS.exe
  2⤵
  PID:7004
- C:\Windows\System32\EOdGlry.exe
  C:\Windows\System32\EOdGlry.exe
  2⤵
  PID:7176
- C:\Windows\System32\qADIVZk.exe
  C:\Windows\System32\qADIVZk.exe
  2⤵
  PID:7200
- C:\Windows\System32\wqkVskw.exe
  C:\Windows\System32\wqkVskw.exe
  2⤵
  PID:7228
- C:\Windows\System32\YlNFTXI.exe
  C:\Windows\System32\YlNFTXI.exe
  2⤵
  PID:7256
- C:\Windows\System32\kUxDbbh.exe
  C:\Windows\System32\kUxDbbh.exe
  2⤵
  PID:7300
- C:\Windows\System32\uChWpZV.exe
  C:\Windows\System32\uChWpZV.exe
  2⤵
  PID:7316
- C:\Windows\System32\jhfYQVm.exe
  C:\Windows\System32\jhfYQVm.exe
  2⤵
  PID:7348
- C:\Windows\System32\LCoOPQc.exe
  C:\Windows\System32\LCoOPQc.exe
  2⤵
  PID:7372
- C:\Windows\System32\UPYcMMd.exe
  C:\Windows\System32\UPYcMMd.exe
  2⤵
  PID:7404
- C:\Windows\System32\iSyYgRH.exe
  C:\Windows\System32\iSyYgRH.exe
  2⤵
  PID:7436
- C:\Windows\System32\QoFpriY.exe
  C:\Windows\System32\QoFpriY.exe
  2⤵
  PID:7468
- C:\Windows\System32\WOnEgzO.exe
  C:\Windows\System32\WOnEgzO.exe
  2⤵
  PID:7500
- C:\Windows\System32\tGccACL.exe
  C:\Windows\System32\tGccACL.exe
  2⤵
  PID:7520
- C:\Windows\System32\gRmvOWq.exe
  C:\Windows\System32\gRmvOWq.exe
  2⤵
  PID:7540
- C:\Windows\System32\FCFnuwk.exe
  C:\Windows\System32\FCFnuwk.exe
  2⤵
  PID:7584
- C:\Windows\System32\xkwnvPe.exe
  C:\Windows\System32\xkwnvPe.exe
  2⤵
  PID:7620
- C:\Windows\System32\ttgFtmE.exe
  C:\Windows\System32\ttgFtmE.exe
  2⤵
  PID:7640
- C:\Windows\System32\shQYqQB.exe
  C:\Windows\System32\shQYqQB.exe
  2⤵
  PID:7660
- C:\Windows\System32\zluvVTN.exe
  C:\Windows\System32\zluvVTN.exe
  2⤵
  PID:7680
- C:\Windows\System32\wygCaWe.exe
  C:\Windows\System32\wygCaWe.exe
  2⤵
  PID:7704
- C:\Windows\System32\YyMlsdX.exe
  C:\Windows\System32\YyMlsdX.exe
  2⤵
  PID:7728
- C:\Windows\System32\vIFizAm.exe
  C:\Windows\System32\vIFizAm.exe
  2⤵
  PID:7780
- C:\Windows\System32\FrYwtqr.exe
  C:\Windows\System32\FrYwtqr.exe
  2⤵
  PID:7808
- C:\Windows\System32\YtJacAK.exe
  C:\Windows\System32\YtJacAK.exe
  2⤵
  PID:7828
- C:\Windows\System32\KPKcftZ.exe
  C:\Windows\System32\KPKcftZ.exe
  2⤵
  PID:7872
- C:\Windows\System32\KwUWNpd.exe
  C:\Windows\System32\KwUWNpd.exe
  2⤵
  PID:7912
- C:\Windows\System32\WzCDcMz.exe
  C:\Windows\System32\WzCDcMz.exe
  2⤵
  PID:7932
- C:\Windows\System32\DTzuEkT.exe
  C:\Windows\System32\DTzuEkT.exe
  2⤵
  PID:7956
- C:\Windows\System32\aGdNmRy.exe
  C:\Windows\System32\aGdNmRy.exe
  2⤵
  PID:7984
- C:\Windows\System32\SFGnjIn.exe
  C:\Windows\System32\SFGnjIn.exe
  2⤵
  PID:8012
- C:\Windows\System32\OdOnkKA.exe
  C:\Windows\System32\OdOnkKA.exe
  2⤵
  PID:8032
- C:\Windows\System32\ecsTpdE.exe
  C:\Windows\System32\ecsTpdE.exe
  2⤵
  PID:8056
- C:\Windows\System32\LamZvdn.exe
  C:\Windows\System32\LamZvdn.exe
  2⤵
  PID:8080
- C:\Windows\System32\tgAGtEu.exe
  C:\Windows\System32\tgAGtEu.exe
  2⤵
  PID:8104
- C:\Windows\System32\RtqlYPz.exe
  C:\Windows\System32\RtqlYPz.exe
  2⤵
  PID:8140
- C:\Windows\System32\FcXUQVa.exe
  C:\Windows\System32\FcXUQVa.exe
  2⤵
  PID:8168
- C:\Windows\System32\RnZMFuv.exe
  C:\Windows\System32\RnZMFuv.exe
  2⤵
  PID:6512
- C:\Windows\System32\eyfVFyk.exe
  C:\Windows\System32\eyfVFyk.exe
  2⤵
  PID:7220
- C:\Windows\System32\ANyoUSe.exe
  C:\Windows\System32\ANyoUSe.exe
  2⤵
  PID:7244
- C:\Windows\System32\IKYyFhq.exe
  C:\Windows\System32\IKYyFhq.exe
  2⤵
  PID:7332
- C:\Windows\System32\PydpFNg.exe
  C:\Windows\System32\PydpFNg.exe
  2⤵
  PID:7432
- C:\Windows\System32\RRrFLfk.exe
  C:\Windows\System32\RRrFLfk.exe
  2⤵
  PID:7512
- C:\Windows\System32\elOUhRE.exe
  C:\Windows\System32\elOUhRE.exe
  2⤵
  PID:7532
- C:\Windows\System32\LZHosRe.exe
  C:\Windows\System32\LZHosRe.exe
  2⤵
  PID:7596
- C:\Windows\System32\SigCWXv.exe
  C:\Windows\System32\SigCWXv.exe
  2⤵
  PID:7716
- C:\Windows\System32\SlvOsuO.exe
  C:\Windows\System32\SlvOsuO.exe
  2⤵
  PID:7696
- C:\Windows\System32\xDXbZOZ.exe
  C:\Windows\System32\xDXbZOZ.exe
  2⤵
  PID:7852
- C:\Windows\System32\AamZPcM.exe
  C:\Windows\System32\AamZPcM.exe
  2⤵
  PID:7924
- C:\Windows\System32\ebnauCi.exe
  C:\Windows\System32\ebnauCi.exe
  2⤵
  PID:8068
- C:\Windows\System32\QNPCJrg.exe
  C:\Windows\System32\QNPCJrg.exe
  2⤵
  PID:7072
- C:\Windows\System32\XJYplcD.exe
  C:\Windows\System32\XJYplcD.exe
  2⤵
  PID:8188
- C:\Windows\System32\rtZVfVi.exe
  C:\Windows\System32\rtZVfVi.exe
  2⤵
  PID:7288
- C:\Windows\System32\FmdELFu.exe
  C:\Windows\System32\FmdELFu.exe
  2⤵
  PID:7236
- C:\Windows\System32\BsoGqdV.exe
  C:\Windows\System32\BsoGqdV.exe
  2⤵
  PID:7396
- C:\Windows\System32\THFPgPz.exe
  C:\Windows\System32\THFPgPz.exe
  2⤵
  PID:7508
- C:\Windows\System32\oomKSHC.exe
  C:\Windows\System32\oomKSHC.exe
  2⤵
  PID:7604
- C:\Windows\System32\MjJQIOS.exe
  C:\Windows\System32\MjJQIOS.exe
  2⤵
  PID:7688
- C:\Windows\System32\KtWPuAe.exe
  C:\Windows\System32\KtWPuAe.exe
  2⤵
  PID:7744
- C:\Windows\System32\ZLOWUed.exe
  C:\Windows\System32\ZLOWUed.exe
  2⤵
  PID:7892
- C:\Windows\System32\ZmwKzXf.exe
  C:\Windows\System32\ZmwKzXf.exe
  2⤵
  PID:8196
- C:\Windows\System32\RfGyXLu.exe
  C:\Windows\System32\RfGyXLu.exe
  2⤵
  PID:8212
- C:\Windows\System32\EUZXPDV.exe
  C:\Windows\System32\EUZXPDV.exe
  2⤵
  PID:8228
- C:\Windows\System32\SJDZrMw.exe
  C:\Windows\System32\SJDZrMw.exe
  2⤵
  PID:8244
- C:\Windows\System32\UbwPWKw.exe
  C:\Windows\System32\UbwPWKw.exe
  2⤵
  PID:8264
- C:\Windows\System32\vDVwtMU.exe
  C:\Windows\System32\vDVwtMU.exe
  2⤵
  PID:8312
- C:\Windows\System32\BbjaCZZ.exe
  C:\Windows\System32\BbjaCZZ.exe
  2⤵
  PID:8356
- C:\Windows\System32\yGjVego.exe
  C:\Windows\System32\yGjVego.exe
  2⤵
  PID:8408
- C:\Windows\System32\HBAcRVR.exe
  C:\Windows\System32\HBAcRVR.exe
  2⤵
  PID:8512
- C:\Windows\System32\EhVaWLR.exe
  C:\Windows\System32\EhVaWLR.exe
  2⤵
  PID:8536
- C:\Windows\System32\SoGGXuD.exe
  C:\Windows\System32\SoGGXuD.exe
  2⤵
  PID:8656
- C:\Windows\System32\uAfOBml.exe
  C:\Windows\System32\uAfOBml.exe
  2⤵
  PID:8688
- C:\Windows\System32\knPLFjP.exe
  C:\Windows\System32\knPLFjP.exe
  2⤵
  PID:8712
- C:\Windows\System32\ofwvTYl.exe
  C:\Windows\System32\ofwvTYl.exe
  2⤵
  PID:8744
- C:\Windows\System32\cpExyGh.exe
  C:\Windows\System32\cpExyGh.exe
  2⤵
  PID:8768
- C:\Windows\System32\CeRWjcM.exe
  C:\Windows\System32\CeRWjcM.exe
  2⤵
  PID:8800
- C:\Windows\System32\zeSBRyP.exe
  C:\Windows\System32\zeSBRyP.exe
  2⤵
  PID:8816
- C:\Windows\System32\ocymnzY.exe
  C:\Windows\System32\ocymnzY.exe
  2⤵
  PID:8848
- C:\Windows\System32\sfPSNDP.exe
  C:\Windows\System32\sfPSNDP.exe
  2⤵
  PID:8884
- C:\Windows\System32\DISfnxn.exe
  C:\Windows\System32\DISfnxn.exe
  2⤵
  PID:8904
- C:\Windows\System32\DuFVycK.exe
  C:\Windows\System32\DuFVycK.exe
  2⤵
  PID:8940
- C:\Windows\System32\KwydtFe.exe
  C:\Windows\System32\KwydtFe.exe
  2⤵
  PID:8972
- C:\Windows\System32\oJVreeu.exe
  C:\Windows\System32\oJVreeu.exe
  2⤵
  PID:9004
- C:\Windows\System32\zhkyscm.exe
  C:\Windows\System32\zhkyscm.exe
  2⤵
  PID:9028
- C:\Windows\System32\ilHwjoZ.exe
  C:\Windows\System32\ilHwjoZ.exe
  2⤵
  PID:9060
- C:\Windows\System32\VDlzvtH.exe
  C:\Windows\System32\VDlzvtH.exe
  2⤵
  PID:9080
- C:\Windows\System32\ikmOTjO.exe
  C:\Windows\System32\ikmOTjO.exe
  2⤵
  PID:9096
- C:\Windows\System32\RCNiehF.exe
  C:\Windows\System32\RCNiehF.exe
  2⤵
  PID:9140
- C:\Windows\System32\BRxxced.exe
  C:\Windows\System32\BRxxced.exe
  2⤵
  PID:9196
- C:\Windows\System32\SWUJQQX.exe
  C:\Windows\System32\SWUJQQX.exe
  2⤵
  PID:7968
- C:\Windows\System32\hUPOxLR.exe
  C:\Windows\System32\hUPOxLR.exe
  2⤵
  PID:8328
- C:\Windows\System32\FdoLHPv.exe
  C:\Windows\System32\FdoLHPv.exe
  2⤵
  PID:8148
- C:\Windows\System32\wbmvAna.exe
  C:\Windows\System32\wbmvAna.exe
  2⤵
  PID:7388
- C:\Windows\System32\PNGEGSl.exe
  C:\Windows\System32\PNGEGSl.exe
  2⤵
  PID:8024
- C:\Windows\System32\hjuKHim.exe
  C:\Windows\System32\hjuKHim.exe
  2⤵
  PID:8044
- C:\Windows\System32\BHzBUEi.exe
  C:\Windows\System32\BHzBUEi.exe
  2⤵
  PID:8088
- C:\Windows\System32\RqyzZpB.exe
  C:\Windows\System32\RqyzZpB.exe
  2⤵
  PID:8252
- C:\Windows\System32\ktQweJU.exe
  C:\Windows\System32\ktQweJU.exe
  2⤵
  PID:8116
- C:\Windows\System32\fLQPjRE.exe
  C:\Windows\System32\fLQPjRE.exe
  2⤵
  PID:8340
- C:\Windows\System32\SUhlaHz.exe
  C:\Windows\System32\SUhlaHz.exe
  2⤵
  PID:8496
- C:\Windows\System32\AooiEMF.exe
  C:\Windows\System32\AooiEMF.exe
  2⤵
  PID:8404
- C:\Windows\System32\uxyOSoy.exe
  C:\Windows\System32\uxyOSoy.exe
  2⤵
  PID:8592
- C:\Windows\System32\zlOAgJp.exe
  C:\Windows\System32\zlOAgJp.exe
  2⤵
  PID:8636
- C:\Windows\System32\jcfpngG.exe
  C:\Windows\System32\jcfpngG.exe
  2⤵
  PID:8728
- C:\Windows\System32\vSKtKzm.exe
  C:\Windows\System32\vSKtKzm.exe
  2⤵
  PID:8776
- C:\Windows\System32\IKFWVyK.exe
  C:\Windows\System32\IKFWVyK.exe
  2⤵
  PID:8812
- C:\Windows\System32\dvbGwOx.exe
  C:\Windows\System32\dvbGwOx.exe
  2⤵
  PID:8868
- C:\Windows\System32\hcbAypS.exe
  C:\Windows\System32\hcbAypS.exe
  2⤵
  PID:8960
- C:\Windows\System32\FDNhsGZ.exe
  C:\Windows\System32\FDNhsGZ.exe
  2⤵
  PID:9072
- C:\Windows\System32\wOymJLh.exe
  C:\Windows\System32\wOymJLh.exe
  2⤵
  PID:9156
- C:\Windows\System32\pLYPULU.exe
  C:\Windows\System32\pLYPULU.exe
  2⤵
  PID:9184
- C:\Windows\System32\anaqpqE.exe
  C:\Windows\System32\anaqpqE.exe
  2⤵
  PID:7992
- C:\Windows\System32\aNISkyj.exe
  C:\Windows\System32\aNISkyj.exe
  2⤵
  PID:8388
- C:\Windows\System32\lUPSuEY.exe
  C:\Windows\System32\lUPSuEY.exe
  2⤵
  PID:9020
- C:\Windows\System32\clYLqlW.exe
  C:\Windows\System32\clYLqlW.exe
  2⤵
  PID:7944
- C:\Windows\System32\ylGRAQh.exe
  C:\Windows\System32\ylGRAQh.exe
  2⤵
  PID:7216
- C:\Windows\System32\lYxtJfr.exe
  C:\Windows\System32\lYxtJfr.exe
  2⤵
  PID:8696
- C:\Windows\System32\EYshgSJ.exe
  C:\Windows\System32\EYshgSJ.exe
  2⤵
  PID:8732
- C:\Windows\System32\GBSVEOQ.exe
  C:\Windows\System32\GBSVEOQ.exe
  2⤵
  PID:8948
- C:\Windows\System32\AeCQaTv.exe
  C:\Windows\System32\AeCQaTv.exe
  2⤵
  PID:9128
- C:\Windows\System32\ILmGith.exe
  C:\Windows\System32\ILmGith.exe
  2⤵
  PID:9204
- C:\Windows\System32\MeAweGm.exe
  C:\Windows\System32\MeAweGm.exe
  2⤵
  PID:7668
- C:\Windows\System32\uyzMmZq.exe
  C:\Windows\System32\uyzMmZq.exe
  2⤵
  PID:8220
- C:\Windows\System32\mmKWuDg.exe
  C:\Windows\System32\mmKWuDg.exe
  2⤵
  PID:8504
- C:\Windows\System32\gtarhFt.exe
  C:\Windows\System32\gtarhFt.exe
  2⤵
  PID:8344
- C:\Windows\System32\xkXqPQy.exe
  C:\Windows\System32\xkXqPQy.exe
  2⤵
  PID:8836
- C:\Windows\System32\OeEHTMI.exe
  C:\Windows\System32\OeEHTMI.exe
  2⤵
  PID:9232
- C:\Windows\System32\uQfgWIJ.exe
  C:\Windows\System32\uQfgWIJ.exe
  2⤵
  PID:9260
- C:\Windows\System32\YagvoAn.exe
  C:\Windows\System32\YagvoAn.exe
  2⤵
  PID:9276
- C:\Windows\System32\GQBPLGU.exe
  C:\Windows\System32\GQBPLGU.exe
  2⤵
  PID:9316
- C:\Windows\System32\oVodlbU.exe
  C:\Windows\System32\oVodlbU.exe
  2⤵
  PID:9368
- C:\Windows\System32\aLeSIPV.exe
  C:\Windows\System32\aLeSIPV.exe
  2⤵
  PID:9388
- C:\Windows\System32\PRFIKpa.exe
  C:\Windows\System32\PRFIKpa.exe
  2⤵
  PID:9412
- C:\Windows\System32\mkXvZfK.exe
  C:\Windows\System32\mkXvZfK.exe
  2⤵
  PID:9428
- C:\Windows\System32\YMagZDW.exe
  C:\Windows\System32\YMagZDW.exe
  2⤵
  PID:9448
- C:\Windows\System32\SuUxdRP.exe
  C:\Windows\System32\SuUxdRP.exe
  2⤵
  PID:9472
- C:\Windows\System32\WnpTiGQ.exe
  C:\Windows\System32\WnpTiGQ.exe
  2⤵
  PID:9504
- C:\Windows\System32\hWZCMJg.exe
  C:\Windows\System32\hWZCMJg.exe
  2⤵
  PID:9536
- C:\Windows\System32\DJLfywB.exe
  C:\Windows\System32\DJLfywB.exe
  2⤵
  PID:9552
- C:\Windows\System32\SWwWzrd.exe
  C:\Windows\System32\SWwWzrd.exe
  2⤵
  PID:9584
- C:\Windows\System32\PGaPJCO.exe
  C:\Windows\System32\PGaPJCO.exe
  2⤵
  PID:9628
- C:\Windows\System32\ZscUmPz.exe
  C:\Windows\System32\ZscUmPz.exe
  2⤵
  PID:9680
- C:\Windows\System32\OfIoUIa.exe
  C:\Windows\System32\OfIoUIa.exe
  2⤵
  PID:9704
- C:\Windows\System32\uqULTwN.exe
  C:\Windows\System32\uqULTwN.exe
  2⤵
  PID:9724
- C:\Windows\System32\aXItGjT.exe
  C:\Windows\System32\aXItGjT.exe
  2⤵
  PID:9748
- C:\Windows\System32\XDtFAOr.exe
  C:\Windows\System32\XDtFAOr.exe
  2⤵
  PID:9780
- C:\Windows\System32\EIwCBNh.exe
  C:\Windows\System32\EIwCBNh.exe
  2⤵
  PID:9808
- C:\Windows\System32\GjeHHEY.exe
  C:\Windows\System32\GjeHHEY.exe
  2⤵
  PID:9828
- C:\Windows\System32\tonyJLo.exe
  C:\Windows\System32\tonyJLo.exe
  2⤵
  PID:9856
- C:\Windows\System32\pBJTWAE.exe
  C:\Windows\System32\pBJTWAE.exe
  2⤵
  PID:9924
- C:\Windows\System32\IKBBzJT.exe
  C:\Windows\System32\IKBBzJT.exe
  2⤵
  PID:9940
- C:\Windows\System32\utkNBdH.exe
  C:\Windows\System32\utkNBdH.exe
  2⤵
  PID:9956
- C:\Windows\System32\MPcKQTt.exe
  C:\Windows\System32\MPcKQTt.exe
  2⤵
  PID:9972
- C:\Windows\System32\alMOjUY.exe
  C:\Windows\System32\alMOjUY.exe
  2⤵
  PID:9996
- C:\Windows\System32\PrWjUKZ.exe
  C:\Windows\System32\PrWjUKZ.exe
  2⤵
  PID:10012
- C:\Windows\System32\rBJebxg.exe
  C:\Windows\System32\rBJebxg.exe
  2⤵
  PID:10032
- C:\Windows\System32\VDzzWIg.exe
  C:\Windows\System32\VDzzWIg.exe
  2⤵
  PID:10048
- C:\Windows\System32\TsiZiEh.exe
  C:\Windows\System32\TsiZiEh.exe
  2⤵
  PID:10072
- C:\Windows\System32\FsFnvPO.exe
  C:\Windows\System32\FsFnvPO.exe
  2⤵
  PID:10104
- C:\Windows\System32\nBpgCcv.exe
  C:\Windows\System32\nBpgCcv.exe
  2⤵
  PID:10120
- C:\Windows\System32\quYWwMy.exe
  C:\Windows\System32\quYWwMy.exe
  2⤵
  PID:10160
- C:\Windows\System32\dYcrQiA.exe
  C:\Windows\System32\dYcrQiA.exe
  2⤵
  PID:10176
- C:\Windows\System32\CxKZrDR.exe
  C:\Windows\System32\CxKZrDR.exe
  2⤵
  PID:10200
- C:\Windows\System32\NIbIgOJ.exe
  C:\Windows\System32\NIbIgOJ.exe
  2⤵
  PID:10220
- C:\Windows\System32\wMhgxws.exe
  C:\Windows\System32\wMhgxws.exe
  2⤵
  PID:8552
- C:\Windows\System32\KpmSkRl.exe
  C:\Windows\System32\KpmSkRl.exe
  2⤵
  PID:9256
- C:\Windows\System32\SurhFjK.exe
  C:\Windows\System32\SurhFjK.exe
  2⤵
  PID:9300
- C:\Windows\System32\fqcmfkO.exe
  C:\Windows\System32\fqcmfkO.exe
  2⤵
  PID:9400
- C:\Windows\System32\sdIKQOw.exe
  C:\Windows\System32\sdIKQOw.exe
  2⤵
  PID:9436
- C:\Windows\System32\YhuwAYb.exe
  C:\Windows\System32\YhuwAYb.exe
  2⤵
  PID:9516
- C:\Windows\System32\NoRwHUh.exe
  C:\Windows\System32\NoRwHUh.exe
  2⤵
  PID:9652
- C:\Windows\System32\TdIUUxy.exe
  C:\Windows\System32\TdIUUxy.exe
  2⤵
  PID:9792
- C:\Windows\System32\UZTLPlc.exe
  C:\Windows\System32\UZTLPlc.exe
  2⤵
  PID:9892
- C:\Windows\System32\vILpIXp.exe
  C:\Windows\System32\vILpIXp.exe
  2⤵
  PID:9968
- C:\Windows\System32\LlXuHbj.exe
  C:\Windows\System32\LlXuHbj.exe
  2⤵
  PID:10020
- C:\Windows\System32\LybvEUa.exe
  C:\Windows\System32\LybvEUa.exe
  2⤵
  PID:10100
- C:\Windows\System32\DztGaoD.exe
  C:\Windows\System32\DztGaoD.exe
  2⤵
  PID:10024
- C:\Windows\System32\kIliobs.exe
  C:\Windows\System32\kIliobs.exe
  2⤵
  PID:10132
- C:\Windows\System32\IkTdGFy.exe
  C:\Windows\System32\IkTdGFy.exe
  2⤵
  PID:9356
- C:\Windows\System32\UhDMbks.exe
  C:\Windows\System32\UhDMbks.exe
  2⤵
  PID:9228
- C:\Windows\System32\YbpZAjr.exe
  C:\Windows\System32\YbpZAjr.exe
  2⤵
  PID:9340
- C:\Windows\System32\ZbWUxkx.exe
  C:\Windows\System32\ZbWUxkx.exe
  2⤵
  PID:9568
- C:\Windows\System32\pjQsKyg.exe
  C:\Windows\System32\pjQsKyg.exe
  2⤵
  PID:9564
- C:\Windows\System32\tZltaYK.exe
  C:\Windows\System32\tZltaYK.exe
  2⤵
  PID:9760
- C:\Windows\System32\mnMdSuW.exe
  C:\Windows\System32\mnMdSuW.exe
  2⤵
  PID:9908
- C:\Windows\System32\bEJkiPt.exe
  C:\Windows\System32\bEJkiPt.exe
  2⤵
  PID:9288
- C:\Windows\System32\XPcBXKp.exe
  C:\Windows\System32\XPcBXKp.exe
  2⤵
  PID:9500
- C:\Windows\System32\NKwvQOQ.exe
  C:\Windows\System32\NKwvQOQ.exe
  2⤵
  PID:9720
- C:\Windows\System32\LmJEOMD.exe
  C:\Windows\System32\LmJEOMD.exe
  2⤵
  PID:10236
- C:\Windows\System32\LWmBLle.exe
  C:\Windows\System32\LWmBLle.exe
  2⤵
  PID:9484
- C:\Windows\System32\mhfSreM.exe
  C:\Windows\System32\mhfSreM.exe
  2⤵
  PID:10248
- C:\Windows\System32\XgPzHPW.exe
  C:\Windows\System32\XgPzHPW.exe
  2⤵
  PID:10272
- C:\Windows\System32\uOONKmr.exe
  C:\Windows\System32\uOONKmr.exe
  2⤵
  PID:10296
- C:\Windows\System32\RMzXoCj.exe
  C:\Windows\System32\RMzXoCj.exe
  2⤵
  PID:10364
- C:\Windows\System32\evaZGej.exe
  C:\Windows\System32\evaZGej.exe
  2⤵
  PID:10400
- C:\Windows\System32\cjQLirv.exe
  C:\Windows\System32\cjQLirv.exe
  2⤵
  PID:10420
- C:\Windows\System32\qYzJdGy.exe
  C:\Windows\System32\qYzJdGy.exe
  2⤵
  PID:10448
- C:\Windows\System32\mgVXFmP.exe
  C:\Windows\System32\mgVXFmP.exe
  2⤵
  PID:10476
- C:\Windows\System32\QSdZrPC.exe
  C:\Windows\System32\QSdZrPC.exe
  2⤵
  PID:10492
- C:\Windows\System32\SomgOCt.exe
  C:\Windows\System32\SomgOCt.exe
  2⤵
  PID:10512
- C:\Windows\System32\uYjRvoe.exe
  C:\Windows\System32\uYjRvoe.exe
  2⤵
  PID:10528
- C:\Windows\System32\uuOGsUr.exe
  C:\Windows\System32\uuOGsUr.exe
  2⤵
  PID:10556
- C:\Windows\System32\xXDlwJZ.exe
  C:\Windows\System32\xXDlwJZ.exe
  2⤵
  PID:10612
- C:\Windows\System32\pYHtLkX.exe
  C:\Windows\System32\pYHtLkX.exe
  2⤵
  PID:10648
- C:\Windows\System32\gasZOwQ.exe
  C:\Windows\System32\gasZOwQ.exe
  2⤵
  PID:10676
- C:\Windows\System32\jxIgFHb.exe
  C:\Windows\System32\jxIgFHb.exe
  2⤵
  PID:10692
- C:\Windows\System32\GtvQwka.exe
  C:\Windows\System32\GtvQwka.exe
  2⤵
  PID:10728
- C:\Windows\System32\osHnYVO.exe
  C:\Windows\System32\osHnYVO.exe
  2⤵
  PID:10748
- C:\Windows\System32\AJDcprd.exe
  C:\Windows\System32\AJDcprd.exe
  2⤵
  PID:10784
- C:\Windows\System32\gFtiRYT.exe
  C:\Windows\System32\gFtiRYT.exe
  2⤵
  PID:10816
- C:\Windows\System32\EbLapyf.exe
  C:\Windows\System32\EbLapyf.exe
  2⤵
  PID:10844
- C:\Windows\System32\DnisOYY.exe
  C:\Windows\System32\DnisOYY.exe
  2⤵
  PID:10868
- C:\Windows\System32\bCsUKIZ.exe
  C:\Windows\System32\bCsUKIZ.exe
  2⤵
  PID:10908
- C:\Windows\System32\HdxRGgG.exe
  C:\Windows\System32\HdxRGgG.exe
  2⤵
  PID:10936
- C:\Windows\System32\sxESzPy.exe
  C:\Windows\System32\sxESzPy.exe
  2⤵
  PID:10952
- C:\Windows\System32\rYTQePY.exe
  C:\Windows\System32\rYTQePY.exe
  2⤵
  PID:10980
- C:\Windows\System32\BrCHhEy.exe
  C:\Windows\System32\BrCHhEy.exe
  2⤵
  PID:11016
- C:\Windows\System32\VzKAMPc.exe
  C:\Windows\System32\VzKAMPc.exe
  2⤵
  PID:11036
- C:\Windows\System32\GZGMcOn.exe
  C:\Windows\System32\GZGMcOn.exe
  2⤵
  PID:11052
- C:\Windows\System32\cGBHrza.exe
  C:\Windows\System32\cGBHrza.exe
  2⤵
  PID:11076
- C:\Windows\System32\qvMtOOd.exe
  C:\Windows\System32\qvMtOOd.exe
  2⤵
  PID:11092
- C:\Windows\System32\QaqpWQC.exe
  C:\Windows\System32\QaqpWQC.exe
  2⤵
  PID:11116
- C:\Windows\System32\MSDvHwj.exe
  C:\Windows\System32\MSDvHwj.exe
  2⤵
  PID:11136
- C:\Windows\System32\iakMCNH.exe
  C:\Windows\System32\iakMCNH.exe
  2⤵
  PID:11156
- C:\Windows\System32\FXwkIsZ.exe
  C:\Windows\System32\FXwkIsZ.exe
  2⤵
  PID:11176
- C:\Windows\System32\yuYDzFH.exe
  C:\Windows\System32\yuYDzFH.exe
  2⤵
  PID:11216
- C:\Windows\System32\JvhTlXp.exe
  C:\Windows\System32\JvhTlXp.exe
  2⤵
  PID:11236
- C:\Windows\System32\CmoyGVT.exe
  C:\Windows\System32\CmoyGVT.exe
  2⤵
  PID:10244
- C:\Windows\System32\njEHVXF.exe
  C:\Windows\System32\njEHVXF.exe
  2⤵
  PID:10320
- C:\Windows\System32\XmNutqd.exe
  C:\Windows\System32\XmNutqd.exe
  2⤵
  PID:10460
- C:\Windows\System32\LpgaFFF.exe
  C:\Windows\System32\LpgaFFF.exe
  2⤵
  PID:10572
- C:\Windows\System32\jXHDuWY.exe
  C:\Windows\System32\jXHDuWY.exe
  2⤵
  PID:10564
- C:\Windows\System32\QMNdxci.exe
  C:\Windows\System32\QMNdxci.exe
  2⤵
  PID:10668
- C:\Windows\System32\ZUFykcb.exe
  C:\Windows\System32\ZUFykcb.exe
  2⤵
  PID:10724
- C:\Windows\System32\CAjiprN.exe
  C:\Windows\System32\CAjiprN.exe
  2⤵
  PID:10764
- C:\Windows\System32\uXcJyBG.exe
  C:\Windows\System32\uXcJyBG.exe
  2⤵
  PID:10812
- C:\Windows\System32\rSDiveq.exe
  C:\Windows\System32\rSDiveq.exe
  2⤵
  PID:10892
- C:\Windows\System32\FknCjbh.exe
  C:\Windows\System32\FknCjbh.exe
  2⤵
  PID:10932
- C:\Windows\System32\KOGLivv.exe
  C:\Windows\System32\KOGLivv.exe
  2⤵
  PID:10992
- C:\Windows\System32\jmoAkQz.exe
  C:\Windows\System32\jmoAkQz.exe
  2⤵
  PID:11048
- C:\Windows\System32\xNFYsZD.exe
  C:\Windows\System32\xNFYsZD.exe
  2⤵
  PID:11112
- C:\Windows\System32\jtwjUIM.exe
  C:\Windows\System32\jtwjUIM.exe
  2⤵
  PID:11152
- C:\Windows\System32\EzbrXbq.exe
  C:\Windows\System32\EzbrXbq.exe
  2⤵
  PID:11148
- C:\Windows\System32\TUrmCEA.exe
  C:\Windows\System32\TUrmCEA.exe
  2⤵
  PID:10280
- C:\Windows\System32\rlPySBS.exe
  C:\Windows\System32\rlPySBS.exe
  2⤵
  PID:11244
- C:\Windows\System32\XjzGPQp.exe
  C:\Windows\System32\XjzGPQp.exe
  2⤵
  PID:10428
- C:\Windows\System32\qrMwAKB.exe
  C:\Windows\System32\qrMwAKB.exe
  2⤵
  PID:10604
- C:\Windows\System32\qvlLcjJ.exe
  C:\Windows\System32\qvlLcjJ.exe
  2⤵
  PID:10800
- C:\Windows\System32\ORSmzPr.exe
  C:\Windows\System32\ORSmzPr.exe
  2⤵
  PID:11064
- C:\Windows\System32\TuXQIDr.exe
  C:\Windows\System32\TuXQIDr.exe
  2⤵
  PID:11188
- C:\Windows\System32\YPzWHuX.exe
  C:\Windows\System32\YPzWHuX.exe
  2⤵
  PID:10316
- C:\Windows\System32\KQmkyiE.exe
  C:\Windows\System32\KQmkyiE.exe
  2⤵
  PID:10596
- C:\Windows\System32\yINmyuk.exe
  C:\Windows\System32\yINmyuk.exe
  2⤵
  PID:10928
- C:\Windows\System32\QzVuQyg.exe
  C:\Windows\System32\QzVuQyg.exe
  2⤵
  PID:10408
- C:\Windows\System32\IiFbkfh.exe
  C:\Windows\System32\IiFbkfh.exe
  2⤵
  PID:9512
- C:\Windows\System32\QDdbrDt.exe
  C:\Windows\System32\QDdbrDt.exe
  2⤵
  PID:11276
- C:\Windows\System32\GoIGrfc.exe
  C:\Windows\System32\GoIGrfc.exe
  2⤵
  PID:11328
- C:\Windows\System32\sVObSUG.exe
  C:\Windows\System32\sVObSUG.exe
  2⤵
  PID:11376
- C:\Windows\System32\NVJatvk.exe
  C:\Windows\System32\NVJatvk.exe
  2⤵
  PID:11408
- C:\Windows\System32\EfkmIlW.exe
  C:\Windows\System32\EfkmIlW.exe
  2⤵
  PID:11424
- C:\Windows\System32\OzSuWKd.exe
  C:\Windows\System32\OzSuWKd.exe
  2⤵
  PID:11452
- C:\Windows\System32\RXeqURG.exe
  C:\Windows\System32\RXeqURG.exe
  2⤵
  PID:11472
- C:\Windows\System32\HNYUZbk.exe
  C:\Windows\System32\HNYUZbk.exe
  2⤵
  PID:11496
- C:\Windows\System32\OZxwScF.exe
  C:\Windows\System32\OZxwScF.exe
  2⤵
  PID:11516
- C:\Windows\System32\davyRqt.exe
  C:\Windows\System32\davyRqt.exe
  2⤵
  PID:11576
- C:\Windows\System32\rYpvVxo.exe
  C:\Windows\System32\rYpvVxo.exe
  2⤵
  PID:11612
- C:\Windows\System32\EGAoMvg.exe
  C:\Windows\System32\EGAoMvg.exe
  2⤵
  PID:11632
- C:\Windows\System32\OXoCPKa.exe
  C:\Windows\System32\OXoCPKa.exe
  2⤵
  PID:11660
- C:\Windows\System32\pVakekq.exe
  C:\Windows\System32\pVakekq.exe
  2⤵
  PID:11684
- C:\Windows\System32\UzkzJjb.exe
  C:\Windows\System32\UzkzJjb.exe
  2⤵
  PID:11724
- C:\Windows\System32\NQNHrAG.exe
  C:\Windows\System32\NQNHrAG.exe
  2⤵
  PID:11752
- C:\Windows\System32\DNzIgff.exe
  C:\Windows\System32\DNzIgff.exe
  2⤵
  PID:11768
- C:\Windows\System32\fwYuJaJ.exe
  C:\Windows\System32\fwYuJaJ.exe
  2⤵
  PID:11788
- C:\Windows\System32\NzyDYIm.exe
  C:\Windows\System32\NzyDYIm.exe
  2⤵
  PID:11812
- C:\Windows\System32\YCYLIQU.exe
  C:\Windows\System32\YCYLIQU.exe
  2⤵
  PID:11832
- C:\Windows\System32\JcCqOkY.exe
  C:\Windows\System32\JcCqOkY.exe
  2⤵
  PID:11896
- C:\Windows\System32\Scqwore.exe
  C:\Windows\System32\Scqwore.exe
  2⤵
  PID:11936
- C:\Windows\System32\XaMXNSa.exe
  C:\Windows\System32\XaMXNSa.exe
  2⤵
  PID:11960
- C:\Windows\System32\yuTmPBh.exe
  C:\Windows\System32\yuTmPBh.exe
  2⤵
  PID:11980
- C:\Windows\System32\YajMlfg.exe
  C:\Windows\System32\YajMlfg.exe
  2⤵
  PID:12000
- C:\Windows\System32\YALFhZh.exe
  C:\Windows\System32\YALFhZh.exe
  2⤵
  PID:12016
- C:\Windows\System32\NxQPfzI.exe
  C:\Windows\System32\NxQPfzI.exe
  2⤵
  PID:12060
- C:\Windows\System32\VQgSzJV.exe
  C:\Windows\System32\VQgSzJV.exe
  2⤵
  PID:12080
- C:\Windows\System32\WZkPboW.exe
  C:\Windows\System32\WZkPboW.exe
  2⤵
  PID:12108
- C:\Windows\System32\TKvbMCe.exe
  C:\Windows\System32\TKvbMCe.exe
  2⤵
  PID:12172
- C:\Windows\System32\LFUXLJg.exe
  C:\Windows\System32\LFUXLJg.exe
  2⤵
  PID:12196
- C:\Windows\System32\xegWQZZ.exe
  C:\Windows\System32\xegWQZZ.exe
  2⤵
  PID:12212
- C:\Windows\System32\NfllsAu.exe
  C:\Windows\System32\NfllsAu.exe
  2⤵
  PID:12232
- C:\Windows\System32\eavQkjA.exe
  C:\Windows\System32\eavQkjA.exe
  2⤵
  PID:12272
- C:\Windows\System32\LQuwpJN.exe
  C:\Windows\System32\LQuwpJN.exe
  2⤵
  PID:11132
- C:\Windows\System32\sRNGpNE.exe
  C:\Windows\System32\sRNGpNE.exe
  2⤵
  PID:11268
- C:\Windows\System32\tOwGcYn.exe
  C:\Windows\System32\tOwGcYn.exe
  2⤵
  PID:11360
- C:\Windows\System32\bGLasDq.exe
  C:\Windows\System32\bGLasDq.exe
  2⤵
  PID:11404
- C:\Windows\System32\DBMgHTD.exe
  C:\Windows\System32\DBMgHTD.exe
  2⤵
  PID:11492
- C:\Windows\System32\rxgQdHd.exe
  C:\Windows\System32\rxgQdHd.exe
  2⤵
  PID:11560
- C:\Windows\System32\npreOlS.exe
  C:\Windows\System32\npreOlS.exe
  2⤵
  PID:11624
- C:\Windows\System32\eCdErKS.exe
  C:\Windows\System32\eCdErKS.exe
  2⤵
  PID:11672
- C:\Windows\System32\OjIlXNu.exe
  C:\Windows\System32\OjIlXNu.exe
  2⤵
  PID:11732
- C:\Windows\System32\PkbtQkT.exe
  C:\Windows\System32\PkbtQkT.exe
  2⤵
  PID:11776
- C:\Windows\System32\MLHaIIs.exe
  C:\Windows\System32\MLHaIIs.exe
  2⤵
  PID:11848
- C:\Windows\System32\ywkxyEU.exe
  C:\Windows\System32\ywkxyEU.exe
  2⤵
  PID:11904
- C:\Windows\System32\tiSiaOS.exe
  C:\Windows\System32\tiSiaOS.exe
  2⤵
  PID:12048
- C:\Windows\System32\jMEQOjw.exe
  C:\Windows\System32\jMEQOjw.exe
  2⤵
  PID:12100
- C:\Windows\System32\gVHVTdH.exe
  C:\Windows\System32\gVHVTdH.exe
  2⤵
  PID:12152
- C:\Windows\System32\SqAxCax.exe
  C:\Windows\System32\SqAxCax.exe
  2⤵
  PID:12220
- C:\Windows\System32\eEQlynP.exe
  C:\Windows\System32\eEQlynP.exe
  2⤵
  PID:12256
- C:\Windows\System32\wtNmfaZ.exe
  C:\Windows\System32\wtNmfaZ.exe
  2⤵
  PID:12284
- C:\Windows\System32\RECyhIR.exe
  C:\Windows\System32\RECyhIR.exe
  2⤵
  PID:2720
- C:\Windows\System32\qrqApVd.exe
  C:\Windows\System32\qrqApVd.exe
  2⤵
  PID:4980
- C:\Windows\System32\tiXvtFn.exe
  C:\Windows\System32\tiXvtFn.exe
  2⤵
  PID:532
- C:\Windows\System32\EFgwLNn.exe
  C:\Windows\System32\EFgwLNn.exe
  2⤵
  PID:11800
- C:\Windows\System32\HJyVRoW.exe
  C:\Windows\System32\HJyVRoW.exe
  2⤵
  PID:11996
- C:\Windows\System32\ARXmwvi.exe
  C:\Windows\System32\ARXmwvi.exe
  2⤵
  PID:12132
- C:\Windows\System32\rbBNkII.exe
  C:\Windows\System32\rbBNkII.exe
  2⤵
  PID:11372
- C:\Windows\System32\obPhpvQ.exe
  C:\Windows\System32\obPhpvQ.exe
  2⤵
  PID:1444
- C:\Windows\System32\evnfAVa.exe
  C:\Windows\System32\evnfAVa.exe
  2⤵
  PID:11548
- C:\Windows\System32\hxvQzcQ.exe
  C:\Windows\System32\hxvQzcQ.exe
  2⤵
  PID:11892
- C:\Windows\System32\KkvdYCP.exe
  C:\Windows\System32\KkvdYCP.exe
  2⤵
  PID:1700
- C:\Windows\System32\URSHsPg.exe
  C:\Windows\System32\URSHsPg.exe
  2⤵
  PID:12304
- C:\Windows\System32\xaIIUkw.exe
  C:\Windows\System32\xaIIUkw.exe
  2⤵
  PID:12324
- C:\Windows\System32\ZMFapru.exe
  C:\Windows\System32\ZMFapru.exe
  2⤵
  PID:12348
- C:\Windows\System32\LADgnDP.exe
  C:\Windows\System32\LADgnDP.exe
  2⤵
  PID:12376
- C:\Windows\System32\UqOPWCR.exe
  C:\Windows\System32\UqOPWCR.exe
  2⤵
  PID:12428
- C:\Windows\System32\ySkIOUn.exe
  C:\Windows\System32\ySkIOUn.exe
  2⤵
  PID:12444
- C:\Windows\System32\qaTwGiH.exe
  C:\Windows\System32\qaTwGiH.exe
  2⤵
  PID:12468
- C:\Windows\System32\JKSPkHj.exe
  C:\Windows\System32\JKSPkHj.exe
  2⤵
  PID:12508
- C:\Windows\System32\nelWQCC.exe
  C:\Windows\System32\nelWQCC.exe
  2⤵
  PID:12532
- C:\Windows\System32\eOaFsoU.exe
  C:\Windows\System32\eOaFsoU.exe
  2⤵
  PID:12556
- C:\Windows\System32\mjPaLzJ.exe
  C:\Windows\System32\mjPaLzJ.exe
  2⤵
  PID:12572
- C:\Windows\System32\szZMBjx.exe
  C:\Windows\System32\szZMBjx.exe
  2⤵
  PID:12592
- C:\Windows\System32\rsLfHCS.exe
  C:\Windows\System32\rsLfHCS.exe
  2⤵
  PID:12612
- C:\Windows\System32\lYRqzXf.exe
  C:\Windows\System32\lYRqzXf.exe
  2⤵
  PID:12644
- C:\Windows\System32\DEyQwhT.exe
  C:\Windows\System32\DEyQwhT.exe
  2⤵
  PID:12708
- C:\Windows\System32\LobIAmV.exe
  C:\Windows\System32\LobIAmV.exe
  2⤵
  PID:12728
- C:\Windows\System32\pRvFPgc.exe
  C:\Windows\System32\pRvFPgc.exe
  2⤵
  PID:12760
- C:\Windows\System32\axsiWjy.exe
  C:\Windows\System32\axsiWjy.exe
  2⤵
  PID:12776
- C:\Windows\System32\dKBuNsR.exe
  C:\Windows\System32\dKBuNsR.exe
  2⤵
  PID:12796
- C:\Windows\System32\WNhxqyx.exe
  C:\Windows\System32\WNhxqyx.exe
  2⤵
  PID:12836
- C:\Windows\System32\QAykdYx.exe
  C:\Windows\System32\QAykdYx.exe
  2⤵
  PID:12852
- C:\Windows\System32\uLcEhru.exe
  C:\Windows\System32\uLcEhru.exe
  2⤵
  PID:12880
- C:\Windows\System32\RyCrpby.exe
  C:\Windows\System32\RyCrpby.exe
  2⤵
  PID:12900
- C:\Windows\System32\lOqrBdG.exe
  C:\Windows\System32\lOqrBdG.exe
  2⤵
  PID:12948
- C:\Windows\System32\mQsRrye.exe
  C:\Windows\System32\mQsRrye.exe
  2⤵
  PID:12988
- C:\Windows\System32\dMFdjZr.exe
  C:\Windows\System32\dMFdjZr.exe
  2⤵
  PID:13016
- C:\Windows\System32\JisWGJE.exe
  C:\Windows\System32\JisWGJE.exe
  2⤵
  PID:13044
- C:\Windows\System32\VyrOwBe.exe
  C:\Windows\System32\VyrOwBe.exe
  2⤵
  PID:13060
- C:\Windows\System32\rSihYNG.exe
  C:\Windows\System32\rSihYNG.exe
  2⤵
  PID:13100
- C:\Windows\System32\WRqZftG.exe
  C:\Windows\System32\WRqZftG.exe
  2⤵
  PID:13120
- C:\Windows\System32\UZvexgR.exe
  C:\Windows\System32\UZvexgR.exe
  2⤵
  PID:13144
- C:\Windows\System32\hJiYjJP.exe
  C:\Windows\System32\hJiYjJP.exe
  2⤵
  PID:13168
- C:\Windows\System32\gjBXBaw.exe
  C:\Windows\System32\gjBXBaw.exe
  2⤵
  PID:13196
- C:\Windows\System32\ksqKlEM.exe
  C:\Windows\System32\ksqKlEM.exe
  2⤵
  PID:13212
- C:\Windows\System32\ZjuDwFV.exe
  C:\Windows\System32\ZjuDwFV.exe
  2⤵
  PID:13252

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12588

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AQILNCR.exe

Filesize
1.4MB

MD5
10f9369b03f40c0591457526587ba49f

SHA1
5e6ea0295a1df43601c0cfed252f48fc5814731d

SHA256
26cac29f08ca7d2cef490d7fe94b5e3f8a18b17ef6eace55f2d6324dceb3259a

SHA512
126339805f25ec863d2bd58df0927b56945e1e892bac3774a179f39eabc41624347bfb4bff90e9e82206b8181f96508ae5d21828fd9940b64e1caf58e611ad48

Download Submit
C:\Windows\System32\DKZqYXu.exe

Filesize
1.4MB

MD5
c602bf9df3ffd6cf6be3b8292259bb2b

SHA1
cd807e359ccdc9fc55b11c2d528e7012fc14f1e2

SHA256
bafb9265f3778089320cd3b9e6d9bb5dce782e31fab42fb61e89daebf2867bda

SHA512
290e7f3d2110d5568eb0cdbf386afe61f3fdead5c4fd54d76717aa6c1459334aa20bf80068708147722b683665f66ae5478c369958fa936134e08897fd7e5cd2

Download Submit
C:\Windows\System32\EbYFQCE.exe

Filesize
1.4MB

MD5
986ef89ae604dc557890e2ba57df9683

SHA1
4fc88636441bc569ad5da77f65d2f9aa1f63b50e

SHA256
008178663e40d6fb1e52f4769cc00973c1765efb66f10128d89a79ecca35eda5

SHA512
7da5566160898d5e07234926585ebfd126dfee018241a88ca3b87056c02f14718b90e34b7876c23364159eeb0ed12f0f4cb3df347c452a4c445c1b6b470aef33

Download Submit
C:\Windows\System32\FgtaJIs.exe

Filesize
1.4MB

MD5
720c7336b19d0a14f4cccdcfbef6a69f

SHA1
9a9c672ae8e814c81d64c51e43f9b2790a759b6d

SHA256
069638abb1f987dab95e6991e024e38cf1a216b1bd663e5f4c39b65bd8bf41df

SHA512
ed499302a559912b1c30f6cdb368995e167a1e07829883867ba55b14ad58fdcb4ec7b95cfd6a09d88c2245adb9832ee2addb4de73cd8a3e4976b2ec01c7651c6

Download Submit
C:\Windows\System32\HiRhlpg.exe

Filesize
1.4MB

MD5
dd85e5582f7346c63b22616bdd036231

SHA1
44d0a95adb17fdbde9296feeeb4d118163eb7f0b

SHA256
f83afbbd3e6ebd802288ae74cd94d7791dab0097539e15640532dda70fa8afc9

SHA512
6585f6adafa32be97989523177907d68424b2ec2349c85fd47af882f4b1a2d78333578f565e0c683b95307c9dba1e5ceb761e9dd38d4bf60568c3c126d374403

Download Submit
C:\Windows\System32\HxcMasS.exe

Filesize
1.4MB

MD5
5812245239ababddf740c1fe3ded334a

SHA1
58066beca86bdfb8e2101422457141acb1d4b6e6

SHA256
7982c62bb70af1e2e64c6585589491eef34ef2061be79a619ca0095b19d6810f

SHA512
dd25ab66b064407fc54f21e7f312a919582d3dd8adf955d2468c1160f29768889ce5a91dc2ea1b3086ad48b4c713fdea382fbcaaba2edb9151fad0c41cd8778b

Download Submit
C:\Windows\System32\IEOgecZ.exe

Filesize
1.4MB

MD5
f90d897fda2ce4afa7f782c082f80d64

SHA1
a7d16763eefcf16f84babe54568d09b68dc6d216

SHA256
8f707b6592f7f91a0c71e27b3ac482ca60dcede9301602b010d892f0a63e4fe1

SHA512
56963f638572bee5b46fd09fc36980fe58664b016e8922004bb4153f17fbe76bd18bbda7db19b304f3e5bd1eb96f5ff70ef05ffbbe64768394e744298993bedd

Download Submit
C:\Windows\System32\LkLTJXN.exe

Filesize
1.4MB

MD5
cf06cb238c71b12f94aba1fc82064096

SHA1
bc760e06db34311e61686d7fc74c2bf0b5e161b8

SHA256
2a3ab9c847286a777aa07e08b7131bf8b0d239bc498122595f9d4e749b8a9b70

SHA512
cc18442c7ffe3ce0b5a667c7e80303c13e8818934f23fbd58a59b4248d489368a192d4798f0fb17175cd475e3aeeb7acb7611bb4afd75e0f9a6d14f5c577e44d

Download Submit
C:\Windows\System32\OMYVspj.exe

Filesize
1.4MB

MD5
52a7f86ccb31456767a6b0addd40b89d

SHA1
794f868be007182c2531125c313e47039fdfe5f2

SHA256
e602ace7914364dcd9cebb1feee904d2f9a1683f3302840da102ceecd2a197ae

SHA512
071c3d8884d6114ce08b9b6985be1b3f36b86924bbc8dc66e04c66f16830b0ee7c1cca6c893a6b3c674ff9b584c82695e00d19ec44cfbcc816fbe2b8e3d0bff5

Download Submit
C:\Windows\System32\OTRyQGr.exe

Filesize
1.4MB

MD5
b335899da4b87fac431218d408882f4e

SHA1
055ecde8f0f50a7b802159f2ca5b12f2c40abbab

SHA256
f9cbd403f0eb077096c7fed6bf50fb8e1b3b83ff368efefc359581041e90f147

SHA512
5fe63d9bae2f4b161196847fecd6292a1c5b5f20550c6184fd4620d482df4dcab7be6df6dd16209f9217fe5c8035a18f6da19763a87d2859346517f626e1e372

Download Submit
C:\Windows\System32\OewEXUK.exe

Filesize
1.4MB

MD5
0f36f035385f02f72e0de24f475956bd

SHA1
61259e50a71c4546d791e5316f32e50d6ea697b1

SHA256
d9fa07f6da0cd5998b6e8480afc426075bc4526fb0930024f7b825840f1d5b5f

SHA512
b637f1f4e7b461fcf11f060cc5106b490bbcb4eed2830a70825b1d31b194dfef5b0f01d9df70ff5bfffd0d3d3f3d5894719eb4f86adcd736ccf6cde1a862185e

Download Submit
C:\Windows\System32\QwEetAw.exe

Filesize
1.4MB

MD5
65b522be71793b1480aa4e6c52b7a4f2

SHA1
e36f24fa7817931c9c1e4930da22a44cbd836b22

SHA256
393c052642b08b58f8e228278badf85f68fb633c368d1a8e28a6a4a160215e61

SHA512
abf85bc256a5b2be397566b0869b8525a304bbfc7e33dff2988a1df89fef1b7ed738eace471456277b592fb031f82b2f2dee21f3aea62984cef87fa0ea9623b9

Download Submit
C:\Windows\System32\RtxqfQU.exe

Filesize
1.4MB

MD5
1a74989e23081acb04f9ad344b06d6e8

SHA1
351bbc29944fb5cf5c6bcbc556331bbabbb6ce8d

SHA256
37112d76f4934080559ffe3a36cae92b735e370dcf9166f90be42230d7523b6e

SHA512
a05b40796cba394d080dd0bc693a02c78a00471af5da5da5ab5dafbb8be6634b469c153f757f4c6e312b1c6a91dbed0db02be03f2227ea394b3f93d1d5b0093e

Download Submit
C:\Windows\System32\RukkbjE.exe

Filesize
1.4MB

MD5
1918c1e1a941a87caf16032a3c236d6c

SHA1
54aa3a006f7d876145da6df520174cbf9e78781d

SHA256
aed921e118b4454a4c14c3b477e6ab9da9e15b2ae361e34a07ebfae5208a9053

SHA512
af302759843098e4bc825670376237735b21b82dea9276266997bb344cc0fc47a51c46421ec47c25ac389a0c686bb7a3e3ab4f493fd4d3ba792b2976471cfad7

Download Submit
C:\Windows\System32\SBhXExo.exe

Filesize
1.4MB

MD5
e55a19b6c7878706db3df4c3c908dd25

SHA1
551df960b851fd40ff2aeef4cd992571e193c81a

SHA256
6261e75abfced3811796cebd347bb0e16102a4e2b661e39e1f2cdfcb45a020cf

SHA512
b81febf883d476542d92750b40ab7e0e9a14f7808df6dfc2f0a1361cff7e5a706e73998961628530114307de77b1866e288103ecd7f3413306e79cc185fb7a0f

Download Submit
C:\Windows\System32\SDwrxbI.exe

Filesize
1.4MB

MD5
6099449f2dffa876c834fc06e8de405a

SHA1
9dbce64201a817377e9f291998e6e7e9636f6aab

SHA256
8d1e7e3c6f5552196c7c3768d58215c6081a46ae86272aa07aee7fcf52a7e925

SHA512
afbba294d3a08743c54f7dbd7a6b03872097917dc836832737e104a95b69850651ec56fcd7ff5e0ae4b4d24f2a43a79a375d564c62882878295e09235a8dd495

Download Submit
C:\Windows\System32\WDboRUM.exe

Filesize
1.4MB

MD5
194b8745aec8a3ecae59095f89d5af73

SHA1
171a7f24614abd59fa2597dd3ff2c13b7ff2c609

SHA256
6acf08975ec68955ada27a65cccc690c8b06dde5932a919d8601ca6e325de98e

SHA512
fd37ff9892a3592b9820970b37a699f560feace0ceaa1353abf5e9935d0de8b64b9e5782af8c05d9b5bf14b0a2432648c9fa382ac6c721eb3ed38b757fef8a05

Download Submit
C:\Windows\System32\XeZdfBK.exe

Filesize
1.4MB

MD5
8874e2050b29768fd5be8b560040714b

SHA1
42c8b3796b93098381ccf5cf63a69a6700e89f5d

SHA256
304e082a9f2c1dc32f28ef1e889e0f107a5116db3ef23215c03411e0ec3af467

SHA512
d1d955a369db86afb58f60f783bf93be3b6ad4947e834ee728f6172597167e20469ac15fb02639db561b1e976e2436002598a9f84a0d0aab7a32287e73187227

Download Submit
C:\Windows\System32\bHbUUGN.exe

Filesize
1.4MB

MD5
7cc68dc57efbe06353ef7cfc89f716c5

SHA1
692c732d5cc215206ad770c2b57f45765dc4fe48

SHA256
401f266ea72c203d7442b7fdf76976363149fff16cee370ed2bfe62bb8feb3d2

SHA512
da7b0669a45ea2d8e84a4b6669eaf88f21458afc68b89d81575aa143b98dad1a7023ccb8bfcb9dfbe200eb330e699f1f6b93e06c927e992d6e59217587c37c70

Download Submit
C:\Windows\System32\egtrKHY.exe

Filesize
1.4MB

MD5
9a143e8bfcc453ebcd65b9a5e2fcac4b

SHA1
2ae6daea20b8b2b6fbba0f2498040896edd8b906

SHA256
642b3b918fb264d94a744386240b8cbc5e7e3bd92574828d78470369fdf67fd1

SHA512
aaeb3b5c559594f232b4ba426d890ea12b636274b13c47315b3d1f15b1382f9e95826b7148ca5ceb7f34b4b2eebbf94869957f122a334d53bbd70b72bbf0503f

Download Submit
C:\Windows\System32\erLFxfS.exe

Filesize
1.4MB

MD5
2bad9a477b57e8577f439491f084fed0

SHA1
2d8fd85357522910ca48d4b7403fbb61a0cf5f70

SHA256
57abce48700a4df9e71ead6917023aeb1c63bddfb1263d86ea2746b880e822ae

SHA512
70d38a7a553a0e4a91b705395c15630cc19fa176601fa7326675267211a862a6e673a9fb81b8fcf3f60743d0db6b0cceade4e50f579997d7246f5ceda84f79bd

Download Submit
C:\Windows\System32\hAjUkvB.exe

Filesize
1.4MB

MD5
239a700aaafb6c48e9ceb09214568bd7

SHA1
4a8f55f62a96f81a257288e1ac646e3a969d763f

SHA256
8a0ce53ae1dee39968d6a18ea9bed32fd94dee59b8048d4effc4870905552fe3

SHA512
d5c558d31c71a40e5d3fc182f6ab0c99099cf621b46386e48fd4adfe2bac91489f5f43b9e64128391beee87f0e3caef3547bb7b540d32d1986768ac9f3a8ef43

Download Submit
C:\Windows\System32\kHDUVZu.exe

Filesize
1.4MB

MD5
26c4f7b78727a30fab3f37588e66007a

SHA1
44ca463ae119c13cbbe0ec9986f6453b5549bb85

SHA256
dccea37bba76bd8200bf93ebb316762f854fe3300ef35d345ebbf594a7e6b7b7

SHA512
de9ce54ada4800adf94c665384d5f28dcc8b7a583235b3bc93d9e3b6ae4a8b87054ca9bc63d38851531c74e066f76741349434d899125fe4297e5aa67528ae3f

Download Submit
C:\Windows\System32\lkacjYx.exe

Filesize
1.4MB

MD5
25436cb0618c5eb3c835049bab2c191f

SHA1
603158667d7e3555c561662d07ffa07a1d40b747

SHA256
a3d7ca23701e05a7a59307cb3088915568a02dde9b24adbee2fdc0b8ad809324

SHA512
2d6d973ca45bce123ffa1f588ce96152242fb42d1898073a3dd5be52705ea03661b1854f4dd2c09cea46e1514f357ae5ecde4b5eca68694b1c3f7650d9a52fe8

Download Submit
C:\Windows\System32\okJEmUN.exe

Filesize
1.4MB

MD5
330f7d031aec4d806d439f903bbff034

SHA1
891c5ec27bead66cb761e52a4e0c831f7d68f09c

SHA256
c63d274f44ae8b9744903eb565e14ab4942461290a2c0884f67eb8ef8317f16c

SHA512
8e0d1b3694989ecd440d9adb0c2c3e3f172b19d2e0dddc3a0077a36557c089797595d47af520ef5e644deb253848bdd648667b931fe8cb1235a385b21d1aa448

Download Submit
C:\Windows\System32\pQxfPFS.exe

Filesize
1.4MB

MD5
ee25b4c776e61a9bf13b4182b65533fa

SHA1
f553aa2013f0adeffdeb4f9a214bf1a650257c54

SHA256
6d4908db0e5e3171f77222c5b4b5eb6033bb613597060d4ec329716272214d60

SHA512
27c9ab83ca9e7bcebb12820e1d4edf35a4bd0ded0a0bdd8e69460d8d5806cd261a17f6f2111c9533c741d99a548cb645e84d784755376a706e1b33c6d05eaae2

Download Submit
C:\Windows\System32\qBkzaOn.exe

Filesize
1.4MB

MD5
475e967b16c1aeb0ad206abd3a8ad4bf

SHA1
aa22c04356dfb080d28391470a176139f6a2cc26

SHA256
258b7f022f6a7e68cdf54f0430e73cd25fcf3396cf696a791e7a3cbd1311c6e0

SHA512
e8679b22525b9a41be37f45932c7a34329289034ad4ca558c9e34c9bec8e6ff2245402b0418f270c7c38029b66b3f2b19ba5c923689b5b1fd22fc6a696a23951

Download Submit
C:\Windows\System32\queBnfZ.exe

Filesize
1.4MB

MD5
60e31c6ce9adfec07f5cd27c283202e0

SHA1
111f1f771fe50c8db77ad171dd7ce83cd460bb46

SHA256
1db8920d190f2ab42cb2f0ae9926146759841ba8f8ce2e11fd75991877f9c8db

SHA512
b885d719b1baaba50a2b8f35d65733d00d454b3a01b5de14653787985203630ad2f05e4ea4598a819ecf0a4848ce3d46904776ff54af4edfee6ad292043ccdef

Download Submit
C:\Windows\System32\rdznXsf.exe

Filesize
1.4MB

MD5
1172342caf47e456ee8d29ef1aeda782

SHA1
3fb76ce85aef07c04301d4aa3b6ecc3f99a698ea

SHA256
ca5ac575f029ada73bf64deda723e6d2c8c453952daa2a096317758cd6f2f2e8

SHA512
ce6ee7ff4eda33d49e9f7420cf23851618968b12b73324e798b5c4039c90d80ac1281a9267447114e699c7863125724200210127cdb9f1dd04861a09364ea16b

Download Submit
C:\Windows\System32\tHNeQZi.exe

Filesize
1.4MB

MD5
49bffbea1fed0c8ce8561dca6317e674

SHA1
fc31cc5625017aafedf7f814a204a3ad047ef736

SHA256
3160fd5e91ac3f527cf62c37aea6e33041a28f7cea34dd289ccec4249e8189ae

SHA512
0432413076bdcabb7a97682411a5803239359777c9337274d5d6a892ae920bd6e7e611bbbdc3ab73e2bb7a375ab4c43637db4e4842ff21f4638684c7c3206941

Download Submit
C:\Windows\System32\vFbpDOv.exe

Filesize
1.4MB

MD5
096a6046fdd6df154c7384962c21f4c3

SHA1
7f996102aabeffd65c679260991634da26427191

SHA256
e07308335f58d4a4da980d0a456883f8e36b645f01da0e7f3668c5f4d0f3747e

SHA512
f24a9fbe6fbd3318dad0514a7abb21df0e7f3cf0cb01d2d5c7658a0515208ff93fe2065a9cbcbe2016f550cd70b11fc09ad59d804985bbbc3801a76516ae965d

Download Submit
C:\Windows\System32\vMiGyzm.exe

Filesize
1.4MB

MD5
12749878240938d14587c794ca140801

SHA1
0c6b06e9421fc79069a5690ea3cdfafe12a9ce14

SHA256
fccf064f982295580f6349277c918ced958f03bd697b3442adc2a21491247d81

SHA512
bc22cce5304f9ab3f2fe95e8ee040c7eec5375ce53d95fd746d39622dadc10e128546550dd687266cb494f9b637627c059fffb5fbf070de20bd0388585076900

Download Submit
C:\Windows\System32\zZNiIVi.exe

Filesize
1.4MB

MD5
0e47db52c7ae58d5f8613b8c66cda631

SHA1
ac4c3ea0aa57ca6d30e4184b1c0e57aa81409367

SHA256
aaa653a9dc790e80182292708d60e34cdad37549450d983ad1c359fce297ac21

SHA512
901333e954ac88268b2f5f06e3902227e074c779f48a233a90e8513b09492c0434a0c43dde9fa95c58284f09e14e0c96a1ebdaee010cca45a5a76bbeda6b4407

Download Submit
memory/212-2035-0x00007FF7DFC60000-0x00007FF7E0051000-memory.dmp

Filesize
3.9MB

Download
memory/212-346-0x00007FF7DFC60000-0x00007FF7E0051000-memory.dmp

Filesize
3.9MB

Download
memory/640-403-0x00007FF7ED590000-0x00007FF7ED981000-memory.dmp

Filesize
3.9MB

Download
memory/640-2058-0x00007FF7ED590000-0x00007FF7ED981000-memory.dmp

Filesize
3.9MB

Download
memory/1832-433-0x00007FF72A220000-0x00007FF72A611000-memory.dmp

Filesize
3.9MB

Download
memory/1832-2023-0x00007FF72A220000-0x00007FF72A611000-memory.dmp

Filesize
3.9MB

Download
memory/1972-0-0x00007FF7D3880000-0x00007FF7D3C71000-memory.dmp

Filesize
3.9MB

Download
memory/1972-1-0x000001F5696F0000-0x000001F569700000-memory.dmp

Filesize
64KB

Download
memory/2132-345-0x00007FF6EB560000-0x00007FF6EB951000-memory.dmp

Filesize
3.9MB

Download
memory/2132-2039-0x00007FF6EB560000-0x00007FF6EB951000-memory.dmp

Filesize
3.9MB

Download
memory/2444-2031-0x00007FF643100000-0x00007FF6434F1000-memory.dmp

Filesize
3.9MB

Download
memory/2444-344-0x00007FF643100000-0x00007FF6434F1000-memory.dmp

Filesize
3.9MB

Download
memory/2468-340-0x00007FF635D70000-0x00007FF636161000-memory.dmp

Filesize
3.9MB

Download
memory/2468-2027-0x00007FF635D70000-0x00007FF636161000-memory.dmp

Filesize
3.9MB

Download
memory/2468-2013-0x00007FF635D70000-0x00007FF636161000-memory.dmp

Filesize
3.9MB

Download
memory/2760-351-0x00007FF780650000-0x00007FF780A41000-memory.dmp

Filesize
3.9MB

Download
memory/2760-2037-0x00007FF780650000-0x00007FF780A41000-memory.dmp

Filesize
3.9MB

Download
memory/2904-382-0x00007FF7FC540000-0x00007FF7FC931000-memory.dmp

Filesize
3.9MB

Download
memory/2904-2069-0x00007FF7FC540000-0x00007FF7FC931000-memory.dmp

Filesize
3.9MB

Download
memory/2952-363-0x00007FF767C20000-0x00007FF768011000-memory.dmp

Filesize
3.9MB

Download
memory/2952-2045-0x00007FF767C20000-0x00007FF768011000-memory.dmp

Filesize
3.9MB

Download
memory/3060-2055-0x00007FF711A50000-0x00007FF711E41000-memory.dmp

Filesize
3.9MB

Download
memory/3060-405-0x00007FF711A50000-0x00007FF711E41000-memory.dmp

Filesize
3.9MB

Download
memory/3296-2041-0x00007FF7E92A0000-0x00007FF7E9691000-memory.dmp

Filesize
3.9MB

Download
memory/3296-348-0x00007FF7E92A0000-0x00007FF7E9691000-memory.dmp

Filesize
3.9MB

Download
memory/3636-393-0x00007FF6C13E0000-0x00007FF6C17D1000-memory.dmp

Filesize
3.9MB

Download
memory/3636-2052-0x00007FF6C13E0000-0x00007FF6C17D1000-memory.dmp

Filesize
3.9MB

Download
memory/3660-12-0x00007FF66D910000-0x00007FF66DD01000-memory.dmp

Filesize
3.9MB

Download
memory/3660-2019-0x00007FF66D910000-0x00007FF66DD01000-memory.dmp

Filesize
3.9MB

Download
memory/3696-2060-0x00007FF720440000-0x00007FF720831000-memory.dmp

Filesize
3.9MB

Download
memory/3696-407-0x00007FF720440000-0x00007FF720831000-memory.dmp

Filesize
3.9MB

Download
memory/3984-2064-0x00007FF72C9E0000-0x00007FF72CDD1000-memory.dmp

Filesize
3.9MB

Download
memory/3984-429-0x00007FF72C9E0000-0x00007FF72CDD1000-memory.dmp

Filesize
3.9MB

Download
memory/4112-355-0x00007FF744380000-0x00007FF744771000-memory.dmp

Filesize
3.9MB

Download
memory/4112-2043-0x00007FF744380000-0x00007FF744771000-memory.dmp

Filesize
3.9MB

Download
memory/4188-2025-0x00007FF6658C0000-0x00007FF665CB1000-memory.dmp

Filesize
3.9MB

Download
memory/4188-342-0x00007FF6658C0000-0x00007FF665CB1000-memory.dmp

Filesize
3.9MB

Download
memory/4368-2012-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp

Filesize
3.9MB

Download
memory/4368-17-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp

Filesize
3.9MB

Download
memory/4368-2021-0x00007FF7E84E0000-0x00007FF7E88D1000-memory.dmp

Filesize
3.9MB

Download
memory/4392-381-0x00007FF7310C0000-0x00007FF7314B1000-memory.dmp

Filesize
3.9MB

Download
memory/4392-2049-0x00007FF7310C0000-0x00007FF7314B1000-memory.dmp

Filesize
3.9MB

Download
memory/4616-386-0x00007FF78B740000-0x00007FF78BB31000-memory.dmp

Filesize
3.9MB

Download
memory/4616-2067-0x00007FF78B740000-0x00007FF78BB31000-memory.dmp

Filesize
3.9MB

Download
memory/4912-343-0x00007FF780DE0000-0x00007FF7811D1000-memory.dmp

Filesize
3.9MB

Download
memory/4912-2029-0x00007FF780DE0000-0x00007FF7811D1000-memory.dmp

Filesize
3.9MB

Download
memory/4976-2047-0x00007FF673EC0000-0x00007FF6742B1000-memory.dmp

Filesize
3.9MB

Download
memory/4976-377-0x00007FF673EC0000-0x00007FF6742B1000-memory.dmp

Filesize
3.9MB

Download
memory/5004-347-0x00007FF6160C0000-0x00007FF6164B1000-memory.dmp

Filesize
3.9MB

Download
memory/5004-2033-0x00007FF6160C0000-0x00007FF6164B1000-memory.dmp

Filesize
3.9MB

Download
memory/5028-414-0x00007FF645340000-0x00007FF645731000-memory.dmp

Filesize
3.9MB

Download
memory/5028-2062-0x00007FF645340000-0x00007FF645731000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads