xmrig | 0c80fca712ee828472d5b180f496ed6ac791b460e13e34a8dc53cc1857e8f1aa

Analysis

max time kernel
112s
max time network
117s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
25-07-2024 16:36

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

e251dca66e32ff1ba1036ef1a042b310N.exe
Size

1.3MB
MD5

e251dca66e32ff1ba1036ef1a042b310
SHA1

89217a829e9ca1205e2e8913a7eea8e6c975f5f1
SHA256

0c80fca712ee828472d5b180f496ed6ac791b460e13e34a8dc53cc1857e8f1aa
SHA512

d3d0f00a404c3e15bcade60c16b7fcc27eab9c8e489d291e5c51317d41b5e115c44154b3dcd93a5de90770d4792b9d97d2f8bc4d509b572279f6e3208e1d93fb
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XIO6zRIhRmuSOWYxk:knw9oUUEEDlGUh+hNFu

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/2716-15-0x00007FF768C60000-0x00007FF769051000-memory.dmp	xmrig
behavioral2/memory/4320-377-0x00007FF7942E0000-0x00007FF7946D1000-memory.dmp	xmrig
behavioral2/memory/3684-378-0x00007FF795A30000-0x00007FF795E21000-memory.dmp	xmrig
behavioral2/memory/1728-379-0x00007FF6AB810000-0x00007FF6ABC01000-memory.dmp	xmrig
behavioral2/memory/5016-380-0x00007FF7C0430000-0x00007FF7C0821000-memory.dmp	xmrig
behavioral2/memory/2032-385-0x00007FF6751E0000-0x00007FF6755D1000-memory.dmp	xmrig
behavioral2/memory/3448-390-0x00007FF79D050000-0x00007FF79D441000-memory.dmp	xmrig
behavioral2/memory/4160-398-0x00007FF6227A0000-0x00007FF622B91000-memory.dmp	xmrig
behavioral2/memory/2396-394-0x00007FF7C6710000-0x00007FF7C6B01000-memory.dmp	xmrig
behavioral2/memory/3148-428-0x00007FF6901E0000-0x00007FF6905D1000-memory.dmp	xmrig
behavioral2/memory/4976-435-0x00007FF790610000-0x00007FF790A01000-memory.dmp	xmrig
behavioral2/memory/2008-443-0x00007FF700990000-0x00007FF700D81000-memory.dmp	xmrig
behavioral2/memory/548-458-0x00007FF7FAF70000-0x00007FF7FB361000-memory.dmp	xmrig
behavioral2/memory/2660-470-0x00007FF69EDE0000-0x00007FF69F1D1000-memory.dmp	xmrig
behavioral2/memory/4708-479-0x00007FF7DC500000-0x00007FF7DC8F1000-memory.dmp	xmrig
behavioral2/memory/4624-491-0x00007FF608390000-0x00007FF608781000-memory.dmp	xmrig
behavioral2/memory/3256-475-0x00007FF668B90000-0x00007FF668F81000-memory.dmp	xmrig
behavioral2/memory/1188-452-0x00007FF7C65D0000-0x00007FF7C69C1000-memory.dmp	xmrig
behavioral2/memory/3064-441-0x00007FF755F60000-0x00007FF756351000-memory.dmp	xmrig
behavioral2/memory/5068-437-0x00007FF6C1650000-0x00007FF6C1A41000-memory.dmp	xmrig
behavioral2/memory/4592-422-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	xmrig
behavioral2/memory/4760-415-0x00007FF7E6870000-0x00007FF7E6C61000-memory.dmp	xmrig
behavioral2/memory/4328-404-0x00007FF757590000-0x00007FF757981000-memory.dmp	xmrig
behavioral2/memory/3032-1987-0x00007FF792D60000-0x00007FF793151000-memory.dmp	xmrig
behavioral2/memory/2716-1989-0x00007FF768C60000-0x00007FF769051000-memory.dmp	xmrig
behavioral2/memory/4320-2013-0x00007FF7942E0000-0x00007FF7946D1000-memory.dmp	xmrig
behavioral2/memory/3032-2017-0x00007FF792D60000-0x00007FF793151000-memory.dmp	xmrig
behavioral2/memory/4624-2024-0x00007FF608390000-0x00007FF608781000-memory.dmp	xmrig
behavioral2/memory/3684-2029-0x00007FF795A30000-0x00007FF795E21000-memory.dmp	xmrig
behavioral2/memory/1728-2033-0x00007FF6AB810000-0x00007FF6ABC01000-memory.dmp	xmrig
behavioral2/memory/5016-2035-0x00007FF7C0430000-0x00007FF7C0821000-memory.dmp	xmrig
behavioral2/memory/3448-2051-0x00007FF79D050000-0x00007FF79D441000-memory.dmp	xmrig
behavioral2/memory/4328-2070-0x00007FF757590000-0x00007FF757981000-memory.dmp	xmrig
behavioral2/memory/4760-2073-0x00007FF7E6870000-0x00007FF7E6C61000-memory.dmp	xmrig
behavioral2/memory/4592-2080-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	xmrig
behavioral2/memory/5068-2100-0x00007FF6C1650000-0x00007FF6C1A41000-memory.dmp	xmrig
behavioral2/memory/3064-2103-0x00007FF755F60000-0x00007FF756351000-memory.dmp	xmrig
behavioral2/memory/1188-2114-0x00007FF7C65D0000-0x00007FF7C69C1000-memory.dmp	xmrig
behavioral2/memory/2008-2113-0x00007FF700990000-0x00007FF700D81000-memory.dmp	xmrig
behavioral2/memory/4976-2090-0x00007FF790610000-0x00007FF790A01000-memory.dmp	xmrig
behavioral2/memory/3148-2088-0x00007FF6901E0000-0x00007FF6905D1000-memory.dmp	xmrig
behavioral2/memory/4160-2062-0x00007FF6227A0000-0x00007FF622B91000-memory.dmp	xmrig
behavioral2/memory/2032-2054-0x00007FF6751E0000-0x00007FF6755D1000-memory.dmp	xmrig
behavioral2/memory/2396-2053-0x00007FF7C6710000-0x00007FF7C6B01000-memory.dmp	xmrig
behavioral2/memory/2660-2143-0x00007FF69EDE0000-0x00007FF69F1D1000-memory.dmp	xmrig
behavioral2/memory/4708-2151-0x00007FF7DC500000-0x00007FF7DC8F1000-memory.dmp	xmrig
behavioral2/memory/3256-2131-0x00007FF668B90000-0x00007FF668F81000-memory.dmp	xmrig
behavioral2/memory/548-2129-0x00007FF7FAF70000-0x00007FF7FB361000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2716	UycmCJo.exe
4320	ofAtSal.exe
3032	xgFLVtp.exe
4624	cNLtJAF.exe
3684	kueVxEz.exe
1728	RhshKmr.exe
5016	hExPtNi.exe
2032	PkIQfEZ.exe
3448	KYpLkjl.exe
2396	zXUSXso.exe
4160	JnUSFUE.exe
4328	hghfjIj.exe
4760	CicVDsn.exe
4592	rxCSGQg.exe
3148	WbJXalZ.exe
4976	PJjhRWg.exe
5068	UyBDVBK.exe
3064	WeHkvoY.exe
2008	PTxdgym.exe
1188	oSfdNTk.exe
548	dHpnmHL.exe
2660	AvRgctr.exe
3256	HJKXfzD.exe
4708	KzreRYk.exe
1436	BrwrycQ.exe
3704	wDdMqtx.exe
4908	LDlxuAn.exe
3800	PvQKQdN.exe
3756	DduFIqz.exe
1800	ZfKjyRO.exe
3216	ygzBjoK.exe
1268	DtyLNgY.exe
3656	AKgkRtB.exe
2908	Bqopxln.exe
2056	UCPzzaC.exe
4128	TAFIKmD.exe
3140	felbMTx.exe
1972	ZTAqmgY.exe
5040	EmmJttT.exe
4872	SYYEYSN.exe
2572	KMBgioU.exe
1916	fPCVnxD.exe
1928	fieJlNz.exe
4076	jCVAXsQ.exe
4144	VqPMgZP.exe
4304	skkpneY.exe
5024	fQJdHIm.exe
4640	yYPXxYb.exe
4244	xRlxtqZ.exe
216	UcNgWoz.exe
3608	TcbzAKV.exe
424	EBDtkQV.exe
4420	ylwqkvP.exe
4424	cQxEgxq.exe
3732	FGxRyeN.exe
4496	RBJrTrI.exe
2520	FJVWWEK.exe
4828	aEqSHiN.exe
4416	LnenPcD.exe
4880	KtxhuxB.exe
4248	yEXkGgg.exe
2148	tVbivyH.exe
4432	bHyKlRR.exe
2664	ohlmrSO.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/864-0-0x00007FF6DCED0000-0x00007FF6DD2C1000-memory.dmp	upx
behavioral2/files/0x00080000000234ee-4.dat	upx
behavioral2/files/0x00070000000234f2-10.dat	upx
behavioral2/memory/3032-17-0x00007FF792D60000-0x00007FF793151000-memory.dmp	upx
behavioral2/memory/2716-15-0x00007FF768C60000-0x00007FF769051000-memory.dmp	upx
behavioral2/files/0x00070000000234f4-21.dat	upx
behavioral2/files/0x00070000000234f5-26.dat	upx
behavioral2/files/0x00070000000234f6-33.dat	upx
behavioral2/files/0x00070000000234f8-43.dat	upx
behavioral2/files/0x00070000000234fb-58.dat	upx
behavioral2/files/0x00070000000234fc-63.dat	upx
behavioral2/files/0x0007000000023500-79.dat	upx
behavioral2/files/0x0007000000023507-118.dat	upx
behavioral2/files/0x000700000002350b-141.dat	upx
behavioral2/files/0x000700000002350e-156.dat	upx
behavioral2/memory/4320-377-0x00007FF7942E0000-0x00007FF7946D1000-memory.dmp	upx
behavioral2/memory/3684-378-0x00007FF795A30000-0x00007FF795E21000-memory.dmp	upx
behavioral2/memory/1728-379-0x00007FF6AB810000-0x00007FF6ABC01000-memory.dmp	upx
behavioral2/memory/5016-380-0x00007FF7C0430000-0x00007FF7C0821000-memory.dmp	upx
behavioral2/memory/2032-385-0x00007FF6751E0000-0x00007FF6755D1000-memory.dmp	upx
behavioral2/memory/3448-390-0x00007FF79D050000-0x00007FF79D441000-memory.dmp	upx
behavioral2/memory/4160-398-0x00007FF6227A0000-0x00007FF622B91000-memory.dmp	upx
behavioral2/memory/2396-394-0x00007FF7C6710000-0x00007FF7C6B01000-memory.dmp	upx
behavioral2/memory/3148-428-0x00007FF6901E0000-0x00007FF6905D1000-memory.dmp	upx
behavioral2/memory/4976-435-0x00007FF790610000-0x00007FF790A01000-memory.dmp	upx
behavioral2/memory/2008-443-0x00007FF700990000-0x00007FF700D81000-memory.dmp	upx
behavioral2/memory/548-458-0x00007FF7FAF70000-0x00007FF7FB361000-memory.dmp	upx
behavioral2/memory/2660-470-0x00007FF69EDE0000-0x00007FF69F1D1000-memory.dmp	upx
behavioral2/memory/4708-479-0x00007FF7DC500000-0x00007FF7DC8F1000-memory.dmp	upx
behavioral2/memory/4624-491-0x00007FF608390000-0x00007FF608781000-memory.dmp	upx
behavioral2/memory/3256-475-0x00007FF668B90000-0x00007FF668F81000-memory.dmp	upx
behavioral2/memory/1188-452-0x00007FF7C65D0000-0x00007FF7C69C1000-memory.dmp	upx
behavioral2/memory/3064-441-0x00007FF755F60000-0x00007FF756351000-memory.dmp	upx
behavioral2/memory/5068-437-0x00007FF6C1650000-0x00007FF6C1A41000-memory.dmp	upx
behavioral2/memory/4592-422-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	upx
behavioral2/memory/4760-415-0x00007FF7E6870000-0x00007FF7E6C61000-memory.dmp	upx
behavioral2/memory/4328-404-0x00007FF757590000-0x00007FF757981000-memory.dmp	upx
behavioral2/files/0x0007000000023511-164.dat	upx
behavioral2/files/0x000700000002350f-161.dat	upx
behavioral2/files/0x0007000000023510-159.dat	upx
behavioral2/files/0x000700000002350d-151.dat	upx
behavioral2/files/0x000700000002350c-146.dat	upx
behavioral2/files/0x000700000002350a-136.dat	upx
behavioral2/files/0x0007000000023509-128.dat	upx
behavioral2/files/0x0007000000023508-123.dat	upx
behavioral2/files/0x0007000000023506-113.dat	upx
behavioral2/files/0x0007000000023505-111.dat	upx
behavioral2/files/0x0007000000023504-103.dat	upx
behavioral2/files/0x0007000000023503-101.dat	upx
behavioral2/files/0x0007000000023502-93.dat	upx
behavioral2/files/0x0007000000023501-91.dat	upx
behavioral2/files/0x00070000000234ff-81.dat	upx
behavioral2/files/0x00070000000234fe-76.dat	upx
behavioral2/files/0x00070000000234fd-71.dat	upx
behavioral2/files/0x00070000000234fa-53.dat	upx
behavioral2/files/0x00070000000234f9-48.dat	upx
behavioral2/files/0x00070000000234f7-38.dat	upx
behavioral2/files/0x00070000000234f3-20.dat	upx
behavioral2/memory/3032-1987-0x00007FF792D60000-0x00007FF793151000-memory.dmp	upx
behavioral2/memory/2716-1989-0x00007FF768C60000-0x00007FF769051000-memory.dmp	upx
behavioral2/memory/4320-2013-0x00007FF7942E0000-0x00007FF7946D1000-memory.dmp	upx
behavioral2/memory/3032-2017-0x00007FF792D60000-0x00007FF793151000-memory.dmp	upx
behavioral2/memory/4624-2024-0x00007FF608390000-0x00007FF608781000-memory.dmp	upx
behavioral2/memory/3684-2029-0x00007FF795A30000-0x00007FF795E21000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\KWtQfmT.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\BLXNBMu.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\DYxWcXL.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\asYiOOw.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\osAaHpo.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\KKMaOoo.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\rNQQVZj.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\GSuegWp.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\wDdMqtx.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\ChhuDxb.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\HeLjxHM.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\gWRGIul.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\DTGIBAh.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\jHBTLwn.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\wYUAkIF.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\PFrlRoy.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\tXRNpWg.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\hvYHYRE.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\xRlxtqZ.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\PfkPHXL.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\EfOGBVb.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\pYPcLRY.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\JjDopLo.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\dHpnmHL.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\sQdOsVc.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\SNkvaFS.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\nyxRRTN.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\xlLFQwP.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\JvhObsy.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\fQJdHIm.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\yXXxaFJ.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\qJPGKNP.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\LVFcTUc.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\PWLStRS.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\rokYBmq.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\kgFRbWl.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\HJKXfzD.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\JxGFQcL.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\KxrkkDV.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\NnEVkHA.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\CgHiqZi.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\CbatcZL.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\sMrbRtm.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\afwMQVE.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\aCUhgqh.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\vgCKkqY.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\AKgkRtB.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\TGMhMmr.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\qEFYYGW.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\nqtUFjF.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\vIojnth.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\TnYeEdg.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\KTtlzTN.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\UyBDVBK.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\tMAIQuW.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\VnfwTdY.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\zlzgOyu.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\FdtkKoF.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\LDlxuAn.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\BHsCEmL.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\AoBBAEl.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\MPBFjvi.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\bUGWNdo.exe	e251dca66e32ff1ba1036ef1a042b310N.exe
File created	C:\Windows\System32\YtiJhFU.exe	e251dca66e32ff1ba1036ef1a042b310N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12632	dwm.exe
Token: SeChangeNotifyPrivilege	12632	dwm.exe
Token: 33	12632	dwm.exe
Token: SeIncBasePriorityPrivilege	12632	dwm.exe
Token: SeShutdownPrivilege	12632	dwm.exe
Token: SeCreatePagefilePrivilege	12632	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 864 wrote to memory of 2716	864	e251dca66e32ff1ba1036ef1a042b310N.exe	85
PID 864 wrote to memory of 2716	864	e251dca66e32ff1ba1036ef1a042b310N.exe	85
PID 864 wrote to memory of 4320	864	e251dca66e32ff1ba1036ef1a042b310N.exe	86
PID 864 wrote to memory of 4320	864	e251dca66e32ff1ba1036ef1a042b310N.exe	86
PID 864 wrote to memory of 3032	864	e251dca66e32ff1ba1036ef1a042b310N.exe	87
PID 864 wrote to memory of 3032	864	e251dca66e32ff1ba1036ef1a042b310N.exe	87
PID 864 wrote to memory of 4624	864	e251dca66e32ff1ba1036ef1a042b310N.exe	88
PID 864 wrote to memory of 4624	864	e251dca66e32ff1ba1036ef1a042b310N.exe	88
PID 864 wrote to memory of 3684	864	e251dca66e32ff1ba1036ef1a042b310N.exe	89
PID 864 wrote to memory of 3684	864	e251dca66e32ff1ba1036ef1a042b310N.exe	89
PID 864 wrote to memory of 1728	864	e251dca66e32ff1ba1036ef1a042b310N.exe	90
PID 864 wrote to memory of 1728	864	e251dca66e32ff1ba1036ef1a042b310N.exe	90
PID 864 wrote to memory of 5016	864	e251dca66e32ff1ba1036ef1a042b310N.exe	91
PID 864 wrote to memory of 5016	864	e251dca66e32ff1ba1036ef1a042b310N.exe	91
PID 864 wrote to memory of 2032	864	e251dca66e32ff1ba1036ef1a042b310N.exe	92
PID 864 wrote to memory of 2032	864	e251dca66e32ff1ba1036ef1a042b310N.exe	92
PID 864 wrote to memory of 3448	864	e251dca66e32ff1ba1036ef1a042b310N.exe	93
PID 864 wrote to memory of 3448	864	e251dca66e32ff1ba1036ef1a042b310N.exe	93
PID 864 wrote to memory of 2396	864	e251dca66e32ff1ba1036ef1a042b310N.exe	94
PID 864 wrote to memory of 2396	864	e251dca66e32ff1ba1036ef1a042b310N.exe	94
PID 864 wrote to memory of 4160	864	e251dca66e32ff1ba1036ef1a042b310N.exe	95
PID 864 wrote to memory of 4160	864	e251dca66e32ff1ba1036ef1a042b310N.exe	95
PID 864 wrote to memory of 4328	864	e251dca66e32ff1ba1036ef1a042b310N.exe	96
PID 864 wrote to memory of 4328	864	e251dca66e32ff1ba1036ef1a042b310N.exe	96
PID 864 wrote to memory of 4760	864	e251dca66e32ff1ba1036ef1a042b310N.exe	97
PID 864 wrote to memory of 4760	864	e251dca66e32ff1ba1036ef1a042b310N.exe	97
PID 864 wrote to memory of 4592	864	e251dca66e32ff1ba1036ef1a042b310N.exe	98
PID 864 wrote to memory of 4592	864	e251dca66e32ff1ba1036ef1a042b310N.exe	98
PID 864 wrote to memory of 3148	864	e251dca66e32ff1ba1036ef1a042b310N.exe	99
PID 864 wrote to memory of 3148	864	e251dca66e32ff1ba1036ef1a042b310N.exe	99
PID 864 wrote to memory of 4976	864	e251dca66e32ff1ba1036ef1a042b310N.exe	100
PID 864 wrote to memory of 4976	864	e251dca66e32ff1ba1036ef1a042b310N.exe	100
PID 864 wrote to memory of 5068	864	e251dca66e32ff1ba1036ef1a042b310N.exe	101
PID 864 wrote to memory of 5068	864	e251dca66e32ff1ba1036ef1a042b310N.exe	101
PID 864 wrote to memory of 3064	864	e251dca66e32ff1ba1036ef1a042b310N.exe	102
PID 864 wrote to memory of 3064	864	e251dca66e32ff1ba1036ef1a042b310N.exe	102
PID 864 wrote to memory of 2008	864	e251dca66e32ff1ba1036ef1a042b310N.exe	103
PID 864 wrote to memory of 2008	864	e251dca66e32ff1ba1036ef1a042b310N.exe	103
PID 864 wrote to memory of 1188	864	e251dca66e32ff1ba1036ef1a042b310N.exe	104
PID 864 wrote to memory of 1188	864	e251dca66e32ff1ba1036ef1a042b310N.exe	104
PID 864 wrote to memory of 548	864	e251dca66e32ff1ba1036ef1a042b310N.exe	105
PID 864 wrote to memory of 548	864	e251dca66e32ff1ba1036ef1a042b310N.exe	105
PID 864 wrote to memory of 2660	864	e251dca66e32ff1ba1036ef1a042b310N.exe	106
PID 864 wrote to memory of 2660	864	e251dca66e32ff1ba1036ef1a042b310N.exe	106
PID 864 wrote to memory of 3256	864	e251dca66e32ff1ba1036ef1a042b310N.exe	107
PID 864 wrote to memory of 3256	864	e251dca66e32ff1ba1036ef1a042b310N.exe	107
PID 864 wrote to memory of 4708	864	e251dca66e32ff1ba1036ef1a042b310N.exe	108
PID 864 wrote to memory of 4708	864	e251dca66e32ff1ba1036ef1a042b310N.exe	108
PID 864 wrote to memory of 1436	864	e251dca66e32ff1ba1036ef1a042b310N.exe	109
PID 864 wrote to memory of 1436	864	e251dca66e32ff1ba1036ef1a042b310N.exe	109
PID 864 wrote to memory of 3704	864	e251dca66e32ff1ba1036ef1a042b310N.exe	110
PID 864 wrote to memory of 3704	864	e251dca66e32ff1ba1036ef1a042b310N.exe	110
PID 864 wrote to memory of 4908	864	e251dca66e32ff1ba1036ef1a042b310N.exe	111
PID 864 wrote to memory of 4908	864	e251dca66e32ff1ba1036ef1a042b310N.exe	111
PID 864 wrote to memory of 3800	864	e251dca66e32ff1ba1036ef1a042b310N.exe	112
PID 864 wrote to memory of 3800	864	e251dca66e32ff1ba1036ef1a042b310N.exe	112
PID 864 wrote to memory of 3756	864	e251dca66e32ff1ba1036ef1a042b310N.exe	113
PID 864 wrote to memory of 3756	864	e251dca66e32ff1ba1036ef1a042b310N.exe	113
PID 864 wrote to memory of 1800	864	e251dca66e32ff1ba1036ef1a042b310N.exe	114
PID 864 wrote to memory of 1800	864	e251dca66e32ff1ba1036ef1a042b310N.exe	114
PID 864 wrote to memory of 3216	864	e251dca66e32ff1ba1036ef1a042b310N.exe	115
PID 864 wrote to memory of 3216	864	e251dca66e32ff1ba1036ef1a042b310N.exe	115
PID 864 wrote to memory of 1268	864	e251dca66e32ff1ba1036ef1a042b310N.exe	116
PID 864 wrote to memory of 1268	864	e251dca66e32ff1ba1036ef1a042b310N.exe	116

C:\Users\Admin\AppData\Local\Temp\e251dca66e32ff1ba1036ef1a042b310N.exe
"C:\Users\Admin\AppData\Local\Temp\e251dca66e32ff1ba1036ef1a042b310N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:864
- C:\Windows\System32\UycmCJo.exe
  C:\Windows\System32\UycmCJo.exe
  2⤵
  - Executes dropped EXE
  PID:2716
- C:\Windows\System32\ofAtSal.exe
  C:\Windows\System32\ofAtSal.exe
  2⤵
  - Executes dropped EXE
  PID:4320
- C:\Windows\System32\xgFLVtp.exe
  C:\Windows\System32\xgFLVtp.exe
  2⤵
  - Executes dropped EXE
  PID:3032
- C:\Windows\System32\cNLtJAF.exe
  C:\Windows\System32\cNLtJAF.exe
  2⤵
  - Executes dropped EXE
  PID:4624
- C:\Windows\System32\kueVxEz.exe
  C:\Windows\System32\kueVxEz.exe
  2⤵
  - Executes dropped EXE
  PID:3684
- C:\Windows\System32\RhshKmr.exe
  C:\Windows\System32\RhshKmr.exe
  2⤵
  - Executes dropped EXE
  PID:1728
- C:\Windows\System32\hExPtNi.exe
  C:\Windows\System32\hExPtNi.exe
  2⤵
  - Executes dropped EXE
  PID:5016
- C:\Windows\System32\PkIQfEZ.exe
  C:\Windows\System32\PkIQfEZ.exe
  2⤵
  - Executes dropped EXE
  PID:2032
- C:\Windows\System32\KYpLkjl.exe
  C:\Windows\System32\KYpLkjl.exe
  2⤵
  - Executes dropped EXE
  PID:3448
- C:\Windows\System32\zXUSXso.exe
  C:\Windows\System32\zXUSXso.exe
  2⤵
  - Executes dropped EXE
  PID:2396
- C:\Windows\System32\JnUSFUE.exe
  C:\Windows\System32\JnUSFUE.exe
  2⤵
  - Executes dropped EXE
  PID:4160
- C:\Windows\System32\hghfjIj.exe
  C:\Windows\System32\hghfjIj.exe
  2⤵
  - Executes dropped EXE
  PID:4328
- C:\Windows\System32\CicVDsn.exe
  C:\Windows\System32\CicVDsn.exe
  2⤵
  - Executes dropped EXE
  PID:4760
- C:\Windows\System32\rxCSGQg.exe
  C:\Windows\System32\rxCSGQg.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\WbJXalZ.exe
  C:\Windows\System32\WbJXalZ.exe
  2⤵
  - Executes dropped EXE
  PID:3148
- C:\Windows\System32\PJjhRWg.exe
  C:\Windows\System32\PJjhRWg.exe
  2⤵
  - Executes dropped EXE
  PID:4976
- C:\Windows\System32\UyBDVBK.exe
  C:\Windows\System32\UyBDVBK.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\WeHkvoY.exe
  C:\Windows\System32\WeHkvoY.exe
  2⤵
  - Executes dropped EXE
  PID:3064
- C:\Windows\System32\PTxdgym.exe
  C:\Windows\System32\PTxdgym.exe
  2⤵
  - Executes dropped EXE
  PID:2008
- C:\Windows\System32\oSfdNTk.exe
  C:\Windows\System32\oSfdNTk.exe
  2⤵
  - Executes dropped EXE
  PID:1188
- C:\Windows\System32\dHpnmHL.exe
  C:\Windows\System32\dHpnmHL.exe
  2⤵
  - Executes dropped EXE
  PID:548
- C:\Windows\System32\AvRgctr.exe
  C:\Windows\System32\AvRgctr.exe
  2⤵
  - Executes dropped EXE
  PID:2660
- C:\Windows\System32\HJKXfzD.exe
  C:\Windows\System32\HJKXfzD.exe
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Windows\System32\KzreRYk.exe
  C:\Windows\System32\KzreRYk.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\BrwrycQ.exe
  C:\Windows\System32\BrwrycQ.exe
  2⤵
  - Executes dropped EXE
  PID:1436
- C:\Windows\System32\wDdMqtx.exe
  C:\Windows\System32\wDdMqtx.exe
  2⤵
  - Executes dropped EXE
  PID:3704
- C:\Windows\System32\LDlxuAn.exe
  C:\Windows\System32\LDlxuAn.exe
  2⤵
  - Executes dropped EXE
  PID:4908
- C:\Windows\System32\PvQKQdN.exe
  C:\Windows\System32\PvQKQdN.exe
  2⤵
  - Executes dropped EXE
  PID:3800
- C:\Windows\System32\DduFIqz.exe
  C:\Windows\System32\DduFIqz.exe
  2⤵
  - Executes dropped EXE
  PID:3756
- C:\Windows\System32\ZfKjyRO.exe
  C:\Windows\System32\ZfKjyRO.exe
  2⤵
  - Executes dropped EXE
  PID:1800
- C:\Windows\System32\ygzBjoK.exe
  C:\Windows\System32\ygzBjoK.exe
  2⤵
  - Executes dropped EXE
  PID:3216
- C:\Windows\System32\DtyLNgY.exe
  C:\Windows\System32\DtyLNgY.exe
  2⤵
  - Executes dropped EXE
  PID:1268
- C:\Windows\System32\AKgkRtB.exe
  C:\Windows\System32\AKgkRtB.exe
  2⤵
  - Executes dropped EXE
  PID:3656
- C:\Windows\System32\Bqopxln.exe
  C:\Windows\System32\Bqopxln.exe
  2⤵
  - Executes dropped EXE
  PID:2908
- C:\Windows\System32\UCPzzaC.exe
  C:\Windows\System32\UCPzzaC.exe
  2⤵
  - Executes dropped EXE
  PID:2056
- C:\Windows\System32\TAFIKmD.exe
  C:\Windows\System32\TAFIKmD.exe
  2⤵
  - Executes dropped EXE
  PID:4128
- C:\Windows\System32\felbMTx.exe
  C:\Windows\System32\felbMTx.exe
  2⤵
  - Executes dropped EXE
  PID:3140
- C:\Windows\System32\ZTAqmgY.exe
  C:\Windows\System32\ZTAqmgY.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\EmmJttT.exe
  C:\Windows\System32\EmmJttT.exe
  2⤵
  - Executes dropped EXE
  PID:5040
- C:\Windows\System32\SYYEYSN.exe
  C:\Windows\System32\SYYEYSN.exe
  2⤵
  - Executes dropped EXE
  PID:4872
- C:\Windows\System32\KMBgioU.exe
  C:\Windows\System32\KMBgioU.exe
  2⤵
  - Executes dropped EXE
  PID:2572
- C:\Windows\System32\fPCVnxD.exe
  C:\Windows\System32\fPCVnxD.exe
  2⤵
  - Executes dropped EXE
  PID:1916
- C:\Windows\System32\fieJlNz.exe
  C:\Windows\System32\fieJlNz.exe
  2⤵
  - Executes dropped EXE
  PID:1928
- C:\Windows\System32\jCVAXsQ.exe
  C:\Windows\System32\jCVAXsQ.exe
  2⤵
  - Executes dropped EXE
  PID:4076
- C:\Windows\System32\VqPMgZP.exe
  C:\Windows\System32\VqPMgZP.exe
  2⤵
  - Executes dropped EXE
  PID:4144
- C:\Windows\System32\skkpneY.exe
  C:\Windows\System32\skkpneY.exe
  2⤵
  - Executes dropped EXE
  PID:4304
- C:\Windows\System32\fQJdHIm.exe
  C:\Windows\System32\fQJdHIm.exe
  2⤵
  - Executes dropped EXE
  PID:5024
- C:\Windows\System32\yYPXxYb.exe
  C:\Windows\System32\yYPXxYb.exe
  2⤵
  - Executes dropped EXE
  PID:4640
- C:\Windows\System32\xRlxtqZ.exe
  C:\Windows\System32\xRlxtqZ.exe
  2⤵
  - Executes dropped EXE
  PID:4244
- C:\Windows\System32\UcNgWoz.exe
  C:\Windows\System32\UcNgWoz.exe
  2⤵
  - Executes dropped EXE
  PID:216
- C:\Windows\System32\TcbzAKV.exe
  C:\Windows\System32\TcbzAKV.exe
  2⤵
  - Executes dropped EXE
  PID:3608
- C:\Windows\System32\EBDtkQV.exe
  C:\Windows\System32\EBDtkQV.exe
  2⤵
  - Executes dropped EXE
  PID:424
- C:\Windows\System32\ylwqkvP.exe
  C:\Windows\System32\ylwqkvP.exe
  2⤵
  - Executes dropped EXE
  PID:4420
- C:\Windows\System32\cQxEgxq.exe
  C:\Windows\System32\cQxEgxq.exe
  2⤵
  - Executes dropped EXE
  PID:4424
- C:\Windows\System32\FGxRyeN.exe
  C:\Windows\System32\FGxRyeN.exe
  2⤵
  - Executes dropped EXE
  PID:3732
- C:\Windows\System32\RBJrTrI.exe
  C:\Windows\System32\RBJrTrI.exe
  2⤵
  - Executes dropped EXE
  PID:4496
- C:\Windows\System32\FJVWWEK.exe
  C:\Windows\System32\FJVWWEK.exe
  2⤵
  - Executes dropped EXE
  PID:2520
- C:\Windows\System32\aEqSHiN.exe
  C:\Windows\System32\aEqSHiN.exe
  2⤵
  - Executes dropped EXE
  PID:4828
- C:\Windows\System32\LnenPcD.exe
  C:\Windows\System32\LnenPcD.exe
  2⤵
  - Executes dropped EXE
  PID:4416
- C:\Windows\System32\KtxhuxB.exe
  C:\Windows\System32\KtxhuxB.exe
  2⤵
  - Executes dropped EXE
  PID:4880
- C:\Windows\System32\yEXkGgg.exe
  C:\Windows\System32\yEXkGgg.exe
  2⤵
  - Executes dropped EXE
  PID:4248
- C:\Windows\System32\tVbivyH.exe
  C:\Windows\System32\tVbivyH.exe
  2⤵
  - Executes dropped EXE
  PID:2148
- C:\Windows\System32\bHyKlRR.exe
  C:\Windows\System32\bHyKlRR.exe
  2⤵
  - Executes dropped EXE
  PID:4432
- C:\Windows\System32\ohlmrSO.exe
  C:\Windows\System32\ohlmrSO.exe
  2⤵
  - Executes dropped EXE
  PID:2664
- C:\Windows\System32\GMRXeVU.exe
  C:\Windows\System32\GMRXeVU.exe
  2⤵
  PID:4000
- C:\Windows\System32\wvCDebD.exe
  C:\Windows\System32\wvCDebD.exe
  2⤵
  PID:1640
- C:\Windows\System32\dxPjALJ.exe
  C:\Windows\System32\dxPjALJ.exe
  2⤵
  PID:684
- C:\Windows\System32\DmpkVdK.exe
  C:\Windows\System32\DmpkVdK.exe
  2⤵
  PID:2448
- C:\Windows\System32\LKITpFv.exe
  C:\Windows\System32\LKITpFv.exe
  2⤵
  PID:3076
- C:\Windows\System32\DYxWcXL.exe
  C:\Windows\System32\DYxWcXL.exe
  2⤵
  PID:1708
- C:\Windows\System32\LcTVapx.exe
  C:\Windows\System32\LcTVapx.exe
  2⤵
  PID:3636
- C:\Windows\System32\wHXceFF.exe
  C:\Windows\System32\wHXceFF.exe
  2⤵
  PID:264
- C:\Windows\System32\lVgSVqR.exe
  C:\Windows\System32\lVgSVqR.exe
  2⤵
  PID:4852
- C:\Windows\System32\XmiIHzJ.exe
  C:\Windows\System32\XmiIHzJ.exe
  2⤵
  PID:1900
- C:\Windows\System32\TKhGasI.exe
  C:\Windows\System32\TKhGasI.exe
  2⤵
  PID:1904
- C:\Windows\System32\qxWRFUl.exe
  C:\Windows\System32\qxWRFUl.exe
  2⤵
  PID:3236
- C:\Windows\System32\infxgdu.exe
  C:\Windows\System32\infxgdu.exe
  2⤵
  PID:3904
- C:\Windows\System32\TGMhMmr.exe
  C:\Windows\System32\TGMhMmr.exe
  2⤵
  PID:3940
- C:\Windows\System32\HlPaQVj.exe
  C:\Windows\System32\HlPaQVj.exe
  2⤵
  PID:1292
- C:\Windows\System32\wsZeIGy.exe
  C:\Windows\System32\wsZeIGy.exe
  2⤵
  PID:4972
- C:\Windows\System32\FToxtSo.exe
  C:\Windows\System32\FToxtSo.exe
  2⤵
  PID:1272
- C:\Windows\System32\CgHiqZi.exe
  C:\Windows\System32\CgHiqZi.exe
  2⤵
  PID:4372
- C:\Windows\System32\QkBrsXz.exe
  C:\Windows\System32\QkBrsXz.exe
  2⤵
  PID:3504
- C:\Windows\System32\JgZMmIJ.exe
  C:\Windows\System32\JgZMmIJ.exe
  2⤵
  PID:2012
- C:\Windows\System32\uURVpje.exe
  C:\Windows\System32\uURVpje.exe
  2⤵
  PID:2120
- C:\Windows\System32\RdkTdYt.exe
  C:\Windows\System32\RdkTdYt.exe
  2⤵
  PID:5032
- C:\Windows\System32\iKzQQWy.exe
  C:\Windows\System32\iKzQQWy.exe
  2⤵
  PID:4140
- C:\Windows\System32\fIEqnFT.exe
  C:\Windows\System32\fIEqnFT.exe
  2⤵
  PID:2236
- C:\Windows\System32\LErpwZw.exe
  C:\Windows\System32\LErpwZw.exe
  2⤵
  PID:372
- C:\Windows\System32\tRvHjBC.exe
  C:\Windows\System32\tRvHjBC.exe
  2⤵
  PID:1152
- C:\Windows\System32\uNtJjUX.exe
  C:\Windows\System32\uNtJjUX.exe
  2⤵
  PID:4032
- C:\Windows\System32\oTQKWrz.exe
  C:\Windows\System32\oTQKWrz.exe
  2⤵
  PID:392
- C:\Windows\System32\mpQhVnS.exe
  C:\Windows\System32\mpQhVnS.exe
  2⤵
  PID:3540
- C:\Windows\System32\CpXwUyd.exe
  C:\Windows\System32\CpXwUyd.exe
  2⤵
  PID:3248
- C:\Windows\System32\GRjFtqe.exe
  C:\Windows\System32\GRjFtqe.exe
  2⤵
  PID:4648
- C:\Windows\System32\PmSTPro.exe
  C:\Windows\System32\PmSTPro.exe
  2⤵
  PID:384
- C:\Windows\System32\asYiOOw.exe
  C:\Windows\System32\asYiOOw.exe
  2⤵
  PID:5160
- C:\Windows\System32\eYdZaNK.exe
  C:\Windows\System32\eYdZaNK.exe
  2⤵
  PID:5176
- C:\Windows\System32\ZVFiLHe.exe
  C:\Windows\System32\ZVFiLHe.exe
  2⤵
  PID:5204
- C:\Windows\System32\iqZxitr.exe
  C:\Windows\System32\iqZxitr.exe
  2⤵
  PID:5240
- C:\Windows\System32\cWgNsVz.exe
  C:\Windows\System32\cWgNsVz.exe
  2⤵
  PID:5260
- C:\Windows\System32\GfnolqX.exe
  C:\Windows\System32\GfnolqX.exe
  2⤵
  PID:5288
- C:\Windows\System32\sQdOsVc.exe
  C:\Windows\System32\sQdOsVc.exe
  2⤵
  PID:5328
- C:\Windows\System32\YlmGUZm.exe
  C:\Windows\System32\YlmGUZm.exe
  2⤵
  PID:5344
- C:\Windows\System32\uMpyuZZ.exe
  C:\Windows\System32\uMpyuZZ.exe
  2⤵
  PID:5436
- C:\Windows\System32\GldTvVq.exe
  C:\Windows\System32\GldTvVq.exe
  2⤵
  PID:5456
- C:\Windows\System32\gpspVly.exe
  C:\Windows\System32\gpspVly.exe
  2⤵
  PID:5500
- C:\Windows\System32\uBuJfHE.exe
  C:\Windows\System32\uBuJfHE.exe
  2⤵
  PID:5528
- C:\Windows\System32\ChhuDxb.exe
  C:\Windows\System32\ChhuDxb.exe
  2⤵
  PID:5564
- C:\Windows\System32\WcyLMUA.exe
  C:\Windows\System32\WcyLMUA.exe
  2⤵
  PID:5584
- C:\Windows\System32\nWZNaSv.exe
  C:\Windows\System32\nWZNaSv.exe
  2⤵
  PID:5612
- C:\Windows\System32\mTWgrYc.exe
  C:\Windows\System32\mTWgrYc.exe
  2⤵
  PID:5636
- C:\Windows\System32\CyvEBNf.exe
  C:\Windows\System32\CyvEBNf.exe
  2⤵
  PID:5652
- C:\Windows\System32\MfFcjnl.exe
  C:\Windows\System32\MfFcjnl.exe
  2⤵
  PID:5672
- C:\Windows\System32\BnKfppS.exe
  C:\Windows\System32\BnKfppS.exe
  2⤵
  PID:5696
- C:\Windows\System32\tsuBRra.exe
  C:\Windows\System32\tsuBRra.exe
  2⤵
  PID:5720
- C:\Windows\System32\iaRDGAY.exe
  C:\Windows\System32\iaRDGAY.exe
  2⤵
  PID:5768
- C:\Windows\System32\BXmQfto.exe
  C:\Windows\System32\BXmQfto.exe
  2⤵
  PID:5788
- C:\Windows\System32\uxTItMq.exe
  C:\Windows\System32\uxTItMq.exe
  2⤵
  PID:5840
- C:\Windows\System32\bYisLew.exe
  C:\Windows\System32\bYisLew.exe
  2⤵
  PID:5900
- C:\Windows\System32\SNkvaFS.exe
  C:\Windows\System32\SNkvaFS.exe
  2⤵
  PID:5936
- C:\Windows\System32\mpANkzg.exe
  C:\Windows\System32\mpANkzg.exe
  2⤵
  PID:5968
- C:\Windows\System32\ARTPEBS.exe
  C:\Windows\System32\ARTPEBS.exe
  2⤵
  PID:5984
- C:\Windows\System32\AExYGDs.exe
  C:\Windows\System32\AExYGDs.exe
  2⤵
  PID:6000
- C:\Windows\System32\SAsjJYr.exe
  C:\Windows\System32\SAsjJYr.exe
  2⤵
  PID:6020
- C:\Windows\System32\MSYewCD.exe
  C:\Windows\System32\MSYewCD.exe
  2⤵
  PID:6056
- C:\Windows\System32\PBBMEtB.exe
  C:\Windows\System32\PBBMEtB.exe
  2⤵
  PID:6112
- C:\Windows\System32\bqiKQqA.exe
  C:\Windows\System32\bqiKQqA.exe
  2⤵
  PID:6128
- C:\Windows\System32\MWfCkUW.exe
  C:\Windows\System32\MWfCkUW.exe
  2⤵
  PID:4100
- C:\Windows\System32\eCSRFBn.exe
  C:\Windows\System32\eCSRFBn.exe
  2⤵
  PID:4192
- C:\Windows\System32\bVNLVyF.exe
  C:\Windows\System32\bVNLVyF.exe
  2⤵
  PID:3336
- C:\Windows\System32\mVHieqO.exe
  C:\Windows\System32\mVHieqO.exe
  2⤵
  PID:184
- C:\Windows\System32\nyxRRTN.exe
  C:\Windows\System32\nyxRRTN.exe
  2⤵
  PID:5252
- C:\Windows\System32\UAOSwbB.exe
  C:\Windows\System32\UAOSwbB.exe
  2⤵
  PID:5276
- C:\Windows\System32\OROqcID.exe
  C:\Windows\System32\OROqcID.exe
  2⤵
  PID:5320
- C:\Windows\System32\XKwYkGC.exe
  C:\Windows\System32\XKwYkGC.exe
  2⤵
  PID:4664
- C:\Windows\System32\PfkPHXL.exe
  C:\Windows\System32\PfkPHXL.exe
  2⤵
  PID:3396
- C:\Windows\System32\tXPGnrf.exe
  C:\Windows\System32\tXPGnrf.exe
  2⤵
  PID:1920
- C:\Windows\System32\uUktWZg.exe
  C:\Windows\System32\uUktWZg.exe
  2⤵
  PID:5480
- C:\Windows\System32\byrQQzH.exe
  C:\Windows\System32\byrQQzH.exe
  2⤵
  PID:5548
- C:\Windows\System32\ooEClra.exe
  C:\Windows\System32\ooEClra.exe
  2⤵
  PID:5600
- C:\Windows\System32\IBGuLPw.exe
  C:\Windows\System32\IBGuLPw.exe
  2⤵
  PID:5660
- C:\Windows\System32\EfOGBVb.exe
  C:\Windows\System32\EfOGBVb.exe
  2⤵
  PID:5648
- C:\Windows\System32\zrKfCjN.exe
  C:\Windows\System32\zrKfCjN.exe
  2⤵
  PID:5704
- C:\Windows\System32\KZUuSXl.exe
  C:\Windows\System32\KZUuSXl.exe
  2⤵
  PID:5808
- C:\Windows\System32\elyohjl.exe
  C:\Windows\System32\elyohjl.exe
  2⤵
  PID:5888
- C:\Windows\System32\XIDdkMJ.exe
  C:\Windows\System32\XIDdkMJ.exe
  2⤵
  PID:5960
- C:\Windows\System32\kcjhthO.exe
  C:\Windows\System32\kcjhthO.exe
  2⤵
  PID:6008
- C:\Windows\System32\dkkqwYJ.exe
  C:\Windows\System32\dkkqwYJ.exe
  2⤵
  PID:4188
- C:\Windows\System32\VUXrpVC.exe
  C:\Windows\System32\VUXrpVC.exe
  2⤵
  PID:5200
- C:\Windows\System32\UbtLGfs.exe
  C:\Windows\System32\UbtLGfs.exe
  2⤵
  PID:5248
- C:\Windows\System32\NVoiJXb.exe
  C:\Windows\System32\NVoiJXb.exe
  2⤵
  PID:5312
- C:\Windows\System32\xjeUaFi.exe
  C:\Windows\System32\xjeUaFi.exe
  2⤵
  PID:3600
- C:\Windows\System32\TZbeMiE.exe
  C:\Windows\System32\TZbeMiE.exe
  2⤵
  PID:2200
- C:\Windows\System32\BHsCEmL.exe
  C:\Windows\System32\BHsCEmL.exe
  2⤵
  PID:5080
- C:\Windows\System32\gdNMFVc.exe
  C:\Windows\System32\gdNMFVc.exe
  2⤵
  PID:5728
- C:\Windows\System32\HHkGKGN.exe
  C:\Windows\System32\HHkGKGN.exe
  2⤵
  PID:5732
- C:\Windows\System32\qEFYYGW.exe
  C:\Windows\System32\qEFYYGW.exe
  2⤵
  PID:5868
- C:\Windows\System32\CLsvpAl.exe
  C:\Windows\System32\CLsvpAl.exe
  2⤵
  PID:5996
- C:\Windows\System32\oFUPEfh.exe
  C:\Windows\System32\oFUPEfh.exe
  2⤵
  PID:6124
- C:\Windows\System32\YbgSduu.exe
  C:\Windows\System32\YbgSduu.exe
  2⤵
  PID:5708
- C:\Windows\System32\skxNvJq.exe
  C:\Windows\System32\skxNvJq.exe
  2⤵
  PID:5396
- C:\Windows\System32\HPmkCpX.exe
  C:\Windows\System32\HPmkCpX.exe
  2⤵
  PID:5680
- C:\Windows\System32\hlNXYLq.exe
  C:\Windows\System32\hlNXYLq.exe
  2⤵
  PID:5992
- C:\Windows\System32\QZmIfDb.exe
  C:\Windows\System32\QZmIfDb.exe
  2⤵
  PID:6012
- C:\Windows\System32\DTGIBAh.exe
  C:\Windows\System32\DTGIBAh.exe
  2⤵
  PID:5604
- C:\Windows\System32\AMUNtHf.exe
  C:\Windows\System32\AMUNtHf.exe
  2⤵
  PID:5228
- C:\Windows\System32\HuqTgdn.exe
  C:\Windows\System32\HuqTgdn.exe
  2⤵
  PID:5420
- C:\Windows\System32\uZROvyU.exe
  C:\Windows\System32\uZROvyU.exe
  2⤵
  PID:6184
- C:\Windows\System32\XPTNCFK.exe
  C:\Windows\System32\XPTNCFK.exe
  2⤵
  PID:6204
- C:\Windows\System32\OXcAlKk.exe
  C:\Windows\System32\OXcAlKk.exe
  2⤵
  PID:6236
- C:\Windows\System32\RdQfFWC.exe
  C:\Windows\System32\RdQfFWC.exe
  2⤵
  PID:6252
- C:\Windows\System32\ETettpH.exe
  C:\Windows\System32\ETettpH.exe
  2⤵
  PID:6280
- C:\Windows\System32\cVkiiRb.exe
  C:\Windows\System32\cVkiiRb.exe
  2⤵
  PID:6296
- C:\Windows\System32\UdKLcfT.exe
  C:\Windows\System32\UdKLcfT.exe
  2⤵
  PID:6332
- C:\Windows\System32\cxUlhOl.exe
  C:\Windows\System32\cxUlhOl.exe
  2⤵
  PID:6388
- C:\Windows\System32\GVFqLnz.exe
  C:\Windows\System32\GVFqLnz.exe
  2⤵
  PID:6412
- C:\Windows\System32\lZHdkck.exe
  C:\Windows\System32\lZHdkck.exe
  2⤵
  PID:6436
- C:\Windows\System32\pYPcLRY.exe
  C:\Windows\System32\pYPcLRY.exe
  2⤵
  PID:6472
- C:\Windows\System32\wAzYQVV.exe
  C:\Windows\System32\wAzYQVV.exe
  2⤵
  PID:6496
- C:\Windows\System32\gRZFFVW.exe
  C:\Windows\System32\gRZFFVW.exe
  2⤵
  PID:6520
- C:\Windows\System32\NygWrsc.exe
  C:\Windows\System32\NygWrsc.exe
  2⤵
  PID:6544
- C:\Windows\System32\WlduCJZ.exe
  C:\Windows\System32\WlduCJZ.exe
  2⤵
  PID:6568
- C:\Windows\System32\ayRqDGN.exe
  C:\Windows\System32\ayRqDGN.exe
  2⤵
  PID:6608
- C:\Windows\System32\NyzKgNZ.exe
  C:\Windows\System32\NyzKgNZ.exe
  2⤵
  PID:6636
- C:\Windows\System32\rdaoFwc.exe
  C:\Windows\System32\rdaoFwc.exe
  2⤵
  PID:6652
- C:\Windows\System32\myrUgEE.exe
  C:\Windows\System32\myrUgEE.exe
  2⤵
  PID:6672
- C:\Windows\System32\PJyZEAa.exe
  C:\Windows\System32\PJyZEAa.exe
  2⤵
  PID:6716
- C:\Windows\System32\UEbqHRz.exe
  C:\Windows\System32\UEbqHRz.exe
  2⤵
  PID:6740
- C:\Windows\System32\WHmxuyl.exe
  C:\Windows\System32\WHmxuyl.exe
  2⤵
  PID:6764
- C:\Windows\System32\uDUrkTj.exe
  C:\Windows\System32\uDUrkTj.exe
  2⤵
  PID:6788
- C:\Windows\System32\XxOyVvQ.exe
  C:\Windows\System32\XxOyVvQ.exe
  2⤵
  PID:6816
- C:\Windows\System32\RqyHoKv.exe
  C:\Windows\System32\RqyHoKv.exe
  2⤵
  PID:6832
- C:\Windows\System32\FUBAkNH.exe
  C:\Windows\System32\FUBAkNH.exe
  2⤵
  PID:6852
- C:\Windows\System32\mhdojXW.exe
  C:\Windows\System32\mhdojXW.exe
  2⤵
  PID:6876
- C:\Windows\System32\hsttIqU.exe
  C:\Windows\System32\hsttIqU.exe
  2⤵
  PID:6892
- C:\Windows\System32\tMAIQuW.exe
  C:\Windows\System32\tMAIQuW.exe
  2⤵
  PID:6916
- C:\Windows\System32\pBUzNxy.exe
  C:\Windows\System32\pBUzNxy.exe
  2⤵
  PID:6976
- C:\Windows\System32\MwdMvOk.exe
  C:\Windows\System32\MwdMvOk.exe
  2⤵
  PID:7032
- C:\Windows\System32\sQwIVVc.exe
  C:\Windows\System32\sQwIVVc.exe
  2⤵
  PID:7068
- C:\Windows\System32\NSkbTEo.exe
  C:\Windows\System32\NSkbTEo.exe
  2⤵
  PID:7088
- C:\Windows\System32\RsCcKId.exe
  C:\Windows\System32\RsCcKId.exe
  2⤵
  PID:7116
- C:\Windows\System32\TGpRVeh.exe
  C:\Windows\System32\TGpRVeh.exe
  2⤵
  PID:7136
- C:\Windows\System32\wYtisxa.exe
  C:\Windows\System32\wYtisxa.exe
  2⤵
  PID:6120
- C:\Windows\System32\eDgrxzH.exe
  C:\Windows\System32\eDgrxzH.exe
  2⤵
  PID:6168
- C:\Windows\System32\AoBBAEl.exe
  C:\Windows\System32\AoBBAEl.exe
  2⤵
  PID:6160
- C:\Windows\System32\MPBFjvi.exe
  C:\Windows\System32\MPBFjvi.exe
  2⤵
  PID:6268
- C:\Windows\System32\ohhcYVg.exe
  C:\Windows\System32\ohhcYVg.exe
  2⤵
  PID:5464
- C:\Windows\System32\fJZwpel.exe
  C:\Windows\System32\fJZwpel.exe
  2⤵
  PID:6308
- C:\Windows\System32\JsgeoXY.exe
  C:\Windows\System32\JsgeoXY.exe
  2⤵
  PID:6344
- C:\Windows\System32\DXMrbnr.exe
  C:\Windows\System32\DXMrbnr.exe
  2⤵
  PID:6384
- C:\Windows\System32\UxCcNoN.exe
  C:\Windows\System32\UxCcNoN.exe
  2⤵
  PID:6420
- C:\Windows\System32\RstniGZ.exe
  C:\Windows\System32\RstniGZ.exe
  2⤵
  PID:6528
- C:\Windows\System32\ctsqWqy.exe
  C:\Windows\System32\ctsqWqy.exe
  2⤵
  PID:6560
- C:\Windows\System32\qiYzqso.exe
  C:\Windows\System32\qiYzqso.exe
  2⤵
  PID:6632
- C:\Windows\System32\FwDqTdY.exe
  C:\Windows\System32\FwDqTdY.exe
  2⤵
  PID:6628
- C:\Windows\System32\fftbzoy.exe
  C:\Windows\System32\fftbzoy.exe
  2⤵
  PID:6860
- C:\Windows\System32\vUGtgBS.exe
  C:\Windows\System32\vUGtgBS.exe
  2⤵
  PID:6944
- C:\Windows\System32\jDVWJyJ.exe
  C:\Windows\System32\jDVWJyJ.exe
  2⤵
  PID:5144
- C:\Windows\System32\AEuwaSD.exe
  C:\Windows\System32\AEuwaSD.exe
  2⤵
  PID:7060
- C:\Windows\System32\twSqOpp.exe
  C:\Windows\System32\twSqOpp.exe
  2⤵
  PID:7128
- C:\Windows\System32\yXXxaFJ.exe
  C:\Windows\System32\yXXxaFJ.exe
  2⤵
  PID:7160
- C:\Windows\System32\pCprygq.exe
  C:\Windows\System32\pCprygq.exe
  2⤵
  PID:6400
- C:\Windows\System32\LgdoBJb.exe
  C:\Windows\System32\LgdoBJb.exe
  2⤵
  PID:6292
- C:\Windows\System32\dgdwVGO.exe
  C:\Windows\System32\dgdwVGO.exe
  2⤵
  PID:6424
- C:\Windows\System32\woDZDra.exe
  C:\Windows\System32\woDZDra.exe
  2⤵
  PID:6644
- C:\Windows\System32\jAdqGcM.exe
  C:\Windows\System32\jAdqGcM.exe
  2⤵
  PID:6736
- C:\Windows\System32\rCaEfZQ.exe
  C:\Windows\System32\rCaEfZQ.exe
  2⤵
  PID:6760
- C:\Windows\System32\MbPGiqn.exe
  C:\Windows\System32\MbPGiqn.exe
  2⤵
  PID:7052
- C:\Windows\System32\gpbGMcR.exe
  C:\Windows\System32\gpbGMcR.exe
  2⤵
  PID:6192
- C:\Windows\System32\MtfyrIp.exe
  C:\Windows\System32\MtfyrIp.exe
  2⤵
  PID:6352
- C:\Windows\System32\RlRFnmx.exe
  C:\Windows\System32\RlRFnmx.exe
  2⤵
  PID:6540
- C:\Windows\System32\uvdZibi.exe
  C:\Windows\System32\uvdZibi.exe
  2⤵
  PID:6776
- C:\Windows\System32\GbwLaTT.exe
  C:\Windows\System32\GbwLaTT.exe
  2⤵
  PID:7112
- C:\Windows\System32\KBLkctI.exe
  C:\Windows\System32\KBLkctI.exe
  2⤵
  PID:7208
- C:\Windows\System32\zmCcFLj.exe
  C:\Windows\System32\zmCcFLj.exe
  2⤵
  PID:7244
- C:\Windows\System32\AIZbTLE.exe
  C:\Windows\System32\AIZbTLE.exe
  2⤵
  PID:7284
- C:\Windows\System32\yTcIqZR.exe
  C:\Windows\System32\yTcIqZR.exe
  2⤵
  PID:7304
- C:\Windows\System32\kNnaSbB.exe
  C:\Windows\System32\kNnaSbB.exe
  2⤵
  PID:7324
- C:\Windows\System32\jHBTLwn.exe
  C:\Windows\System32\jHBTLwn.exe
  2⤵
  PID:7340
- C:\Windows\System32\vtktLAK.exe
  C:\Windows\System32\vtktLAK.exe
  2⤵
  PID:7368
- C:\Windows\System32\tXRNpWg.exe
  C:\Windows\System32\tXRNpWg.exe
  2⤵
  PID:7384
- C:\Windows\System32\GVDgMqX.exe
  C:\Windows\System32\GVDgMqX.exe
  2⤵
  PID:7412
- C:\Windows\System32\UqooNqs.exe
  C:\Windows\System32\UqooNqs.exe
  2⤵
  PID:7432
- C:\Windows\System32\vcvmbME.exe
  C:\Windows\System32\vcvmbME.exe
  2⤵
  PID:7476
- C:\Windows\System32\MLCdpKD.exe
  C:\Windows\System32\MLCdpKD.exe
  2⤵
  PID:7528
- C:\Windows\System32\OioqpBv.exe
  C:\Windows\System32\OioqpBv.exe
  2⤵
  PID:7556
- C:\Windows\System32\nMHMiEW.exe
  C:\Windows\System32\nMHMiEW.exe
  2⤵
  PID:7588
- C:\Windows\System32\pULLvnL.exe
  C:\Windows\System32\pULLvnL.exe
  2⤵
  PID:7612
- C:\Windows\System32\dIGDJfx.exe
  C:\Windows\System32\dIGDJfx.exe
  2⤵
  PID:7644
- C:\Windows\System32\mOuNVXI.exe
  C:\Windows\System32\mOuNVXI.exe
  2⤵
  PID:7664
- C:\Windows\System32\dajpABH.exe
  C:\Windows\System32\dajpABH.exe
  2⤵
  PID:7692
- C:\Windows\System32\nLtMOrL.exe
  C:\Windows\System32\nLtMOrL.exe
  2⤵
  PID:7712
- C:\Windows\System32\cBwByBG.exe
  C:\Windows\System32\cBwByBG.exe
  2⤵
  PID:7748
- C:\Windows\System32\VnfwTdY.exe
  C:\Windows\System32\VnfwTdY.exe
  2⤵
  PID:7788
- C:\Windows\System32\MDVDuRU.exe
  C:\Windows\System32\MDVDuRU.exe
  2⤵
  PID:7812
- C:\Windows\System32\uYBWBzP.exe
  C:\Windows\System32\uYBWBzP.exe
  2⤵
  PID:7832
- C:\Windows\System32\qJPGKNP.exe
  C:\Windows\System32\qJPGKNP.exe
  2⤵
  PID:7868
- C:\Windows\System32\SXbUUog.exe
  C:\Windows\System32\SXbUUog.exe
  2⤵
  PID:7888
- C:\Windows\System32\TNMrsQN.exe
  C:\Windows\System32\TNMrsQN.exe
  2⤵
  PID:7916
- C:\Windows\System32\FpWarOR.exe
  C:\Windows\System32\FpWarOR.exe
  2⤵
  PID:7944
- C:\Windows\System32\VnLutLq.exe
  C:\Windows\System32\VnLutLq.exe
  2⤵
  PID:7964
- C:\Windows\System32\mvVQsLf.exe
  C:\Windows\System32\mvVQsLf.exe
  2⤵
  PID:7988
- C:\Windows\System32\yJysShm.exe
  C:\Windows\System32\yJysShm.exe
  2⤵
  PID:8008
- C:\Windows\System32\yTpVEjc.exe
  C:\Windows\System32\yTpVEjc.exe
  2⤵
  PID:8032
- C:\Windows\System32\acMKROY.exe
  C:\Windows\System32\acMKROY.exe
  2⤵
  PID:8076
- C:\Windows\System32\CbatcZL.exe
  C:\Windows\System32\CbatcZL.exe
  2⤵
  PID:8096
- C:\Windows\System32\zgfuaih.exe
  C:\Windows\System32\zgfuaih.exe
  2⤵
  PID:8140
- C:\Windows\System32\HeLjxHM.exe
  C:\Windows\System32\HeLjxHM.exe
  2⤵
  PID:8176
- C:\Windows\System32\vVQRbPP.exe
  C:\Windows\System32\vVQRbPP.exe
  2⤵
  PID:6848
- C:\Windows\System32\AAduKZP.exe
  C:\Windows\System32\AAduKZP.exe
  2⤵
  PID:7256
- C:\Windows\System32\mObFZkc.exe
  C:\Windows\System32\mObFZkc.exe
  2⤵
  PID:7296
- C:\Windows\System32\Ppepqdj.exe
  C:\Windows\System32\Ppepqdj.exe
  2⤵
  PID:7316
- C:\Windows\System32\tHNhirH.exe
  C:\Windows\System32\tHNhirH.exe
  2⤵
  PID:7404
- C:\Windows\System32\ZqHeqnq.exe
  C:\Windows\System32\ZqHeqnq.exe
  2⤵
  PID:7400
- C:\Windows\System32\fjhGmPm.exe
  C:\Windows\System32\fjhGmPm.exe
  2⤵
  PID:7584
- C:\Windows\System32\oagtPCm.exe
  C:\Windows\System32\oagtPCm.exe
  2⤵
  PID:7632
- C:\Windows\System32\IWcXQCA.exe
  C:\Windows\System32\IWcXQCA.exe
  2⤵
  PID:7656
- C:\Windows\System32\cSXmsof.exe
  C:\Windows\System32\cSXmsof.exe
  2⤵
  PID:7728
- C:\Windows\System32\TvIqciu.exe
  C:\Windows\System32\TvIqciu.exe
  2⤵
  PID:7760
- C:\Windows\System32\gjJTNbV.exe
  C:\Windows\System32\gjJTNbV.exe
  2⤵
  PID:7852
- C:\Windows\System32\JfrAMkJ.exe
  C:\Windows\System32\JfrAMkJ.exe
  2⤵
  PID:7908
- C:\Windows\System32\mHZnpaK.exe
  C:\Windows\System32\mHZnpaK.exe
  2⤵
  PID:7928
- C:\Windows\System32\sMrbRtm.exe
  C:\Windows\System32\sMrbRtm.exe
  2⤵
  PID:8024
- C:\Windows\System32\tcPvSyx.exe
  C:\Windows\System32\tcPvSyx.exe
  2⤵
  PID:8060
- C:\Windows\System32\CMFgFsE.exe
  C:\Windows\System32\CMFgFsE.exe
  2⤵
  PID:6936
- C:\Windows\System32\XmnidPD.exe
  C:\Windows\System32\XmnidPD.exe
  2⤵
  PID:7420
- C:\Windows\System32\nqtUFjF.exe
  C:\Windows\System32\nqtUFjF.exe
  2⤵
  PID:7976
- C:\Windows\System32\muSoDYh.exe
  C:\Windows\System32\muSoDYh.exe
  2⤵
  PID:7936
- C:\Windows\System32\SXoSImj.exe
  C:\Windows\System32\SXoSImj.exe
  2⤵
  PID:8016
- C:\Windows\System32\wErRIAq.exe
  C:\Windows\System32\wErRIAq.exe
  2⤵
  PID:8148
- C:\Windows\System32\hvYHYRE.exe
  C:\Windows\System32\hvYHYRE.exe
  2⤵
  PID:7804
- C:\Windows\System32\jcmRJns.exe
  C:\Windows\System32\jcmRJns.exe
  2⤵
  PID:7684
- C:\Windows\System32\MwwLkAY.exe
  C:\Windows\System32\MwwLkAY.exe
  2⤵
  PID:8168
- C:\Windows\System32\oLUajdG.exe
  C:\Windows\System32\oLUajdG.exe
  2⤵
  PID:8152
- C:\Windows\System32\UMvUeUY.exe
  C:\Windows\System32\UMvUeUY.exe
  2⤵
  PID:8160
- C:\Windows\System32\xWDWCyz.exe
  C:\Windows\System32\xWDWCyz.exe
  2⤵
  PID:7600
- C:\Windows\System32\WqbZpSo.exe
  C:\Windows\System32\WqbZpSo.exe
  2⤵
  PID:8220
- C:\Windows\System32\LVFcTUc.exe
  C:\Windows\System32\LVFcTUc.exe
  2⤵
  PID:8252
- C:\Windows\System32\VENzGMT.exe
  C:\Windows\System32\VENzGMT.exe
  2⤵
  PID:8276
- C:\Windows\System32\lNHupWq.exe
  C:\Windows\System32\lNHupWq.exe
  2⤵
  PID:8296
- C:\Windows\System32\fizgfUx.exe
  C:\Windows\System32\fizgfUx.exe
  2⤵
  PID:8320
- C:\Windows\System32\cneATmt.exe
  C:\Windows\System32\cneATmt.exe
  2⤵
  PID:8340
- C:\Windows\System32\wYUAkIF.exe
  C:\Windows\System32\wYUAkIF.exe
  2⤵
  PID:8364
- C:\Windows\System32\GKELQVf.exe
  C:\Windows\System32\GKELQVf.exe
  2⤵
  PID:8408
- C:\Windows\System32\mjkldhA.exe
  C:\Windows\System32\mjkldhA.exe
  2⤵
  PID:8428
- C:\Windows\System32\BJuJphy.exe
  C:\Windows\System32\BJuJphy.exe
  2⤵
  PID:8444
- C:\Windows\System32\vgCKkqY.exe
  C:\Windows\System32\vgCKkqY.exe
  2⤵
  PID:8492
- C:\Windows\System32\Uuckogf.exe
  C:\Windows\System32\Uuckogf.exe
  2⤵
  PID:8540
- C:\Windows\System32\jGWvocR.exe
  C:\Windows\System32\jGWvocR.exe
  2⤵
  PID:8560
- C:\Windows\System32\hNswWcz.exe
  C:\Windows\System32\hNswWcz.exe
  2⤵
  PID:8588
- C:\Windows\System32\NALrlGs.exe
  C:\Windows\System32\NALrlGs.exe
  2⤵
  PID:8616
- C:\Windows\System32\cIvSohU.exe
  C:\Windows\System32\cIvSohU.exe
  2⤵
  PID:8636
- C:\Windows\System32\ymlWVHS.exe
  C:\Windows\System32\ymlWVHS.exe
  2⤵
  PID:8660
- C:\Windows\System32\chXOpsk.exe
  C:\Windows\System32\chXOpsk.exe
  2⤵
  PID:8684
- C:\Windows\System32\vIxKJAb.exe
  C:\Windows\System32\vIxKJAb.exe
  2⤵
  PID:8704
- C:\Windows\System32\oNZPnCT.exe
  C:\Windows\System32\oNZPnCT.exe
  2⤵
  PID:8748
- C:\Windows\System32\RNXzgfe.exe
  C:\Windows\System32\RNXzgfe.exe
  2⤵
  PID:8804
- C:\Windows\System32\ggQAyyb.exe
  C:\Windows\System32\ggQAyyb.exe
  2⤵
  PID:8820
- C:\Windows\System32\cxmjyck.exe
  C:\Windows\System32\cxmjyck.exe
  2⤵
  PID:8856
- C:\Windows\System32\fOBTEbZ.exe
  C:\Windows\System32\fOBTEbZ.exe
  2⤵
  PID:8876
- C:\Windows\System32\odvYEaQ.exe
  C:\Windows\System32\odvYEaQ.exe
  2⤵
  PID:8920
- C:\Windows\System32\QFJZMTr.exe
  C:\Windows\System32\QFJZMTr.exe
  2⤵
  PID:8944
- C:\Windows\System32\pvYTmOd.exe
  C:\Windows\System32\pvYTmOd.exe
  2⤵
  PID:8960
- C:\Windows\System32\CmDhNTs.exe
  C:\Windows\System32\CmDhNTs.exe
  2⤵
  PID:9008
- C:\Windows\System32\dfOgREM.exe
  C:\Windows\System32\dfOgREM.exe
  2⤵
  PID:9032
- C:\Windows\System32\vUOXzTR.exe
  C:\Windows\System32\vUOXzTR.exe
  2⤵
  PID:9060
- C:\Windows\System32\mpHYndh.exe
  C:\Windows\System32\mpHYndh.exe
  2⤵
  PID:9088
- C:\Windows\System32\vhmEsOK.exe
  C:\Windows\System32\vhmEsOK.exe
  2⤵
  PID:9116
- C:\Windows\System32\RTIIEmL.exe
  C:\Windows\System32\RTIIEmL.exe
  2⤵
  PID:9140
- C:\Windows\System32\uHAxDNR.exe
  C:\Windows\System32\uHAxDNR.exe
  2⤵
  PID:9164
- C:\Windows\System32\zlzgOyu.exe
  C:\Windows\System32\zlzgOyu.exe
  2⤵
  PID:9204
- C:\Windows\System32\NccgppO.exe
  C:\Windows\System32\NccgppO.exe
  2⤵
  PID:8208
- C:\Windows\System32\nrAlbiR.exe
  C:\Windows\System32\nrAlbiR.exe
  2⤵
  PID:8272
- C:\Windows\System32\veZREOn.exe
  C:\Windows\System32\veZREOn.exe
  2⤵
  PID:8312
- C:\Windows\System32\qzYzCkF.exe
  C:\Windows\System32\qzYzCkF.exe
  2⤵
  PID:8352
- C:\Windows\System32\qvUUMbE.exe
  C:\Windows\System32\qvUUMbE.exe
  2⤵
  PID:8384
- C:\Windows\System32\Xisbcto.exe
  C:\Windows\System32\Xisbcto.exe
  2⤵
  PID:8504
- C:\Windows\System32\prhRgUa.exe
  C:\Windows\System32\prhRgUa.exe
  2⤵
  PID:8644
- C:\Windows\System32\OOVNJBi.exe
  C:\Windows\System32\OOVNJBi.exe
  2⤵
  PID:8672
- C:\Windows\System32\rHufZaH.exe
  C:\Windows\System32\rHufZaH.exe
  2⤵
  PID:8768
- C:\Windows\System32\DRSWkER.exe
  C:\Windows\System32\DRSWkER.exe
  2⤵
  PID:8868
- C:\Windows\System32\lzPLbfx.exe
  C:\Windows\System32\lzPLbfx.exe
  2⤵
  PID:8912
- C:\Windows\System32\mVQCdXI.exe
  C:\Windows\System32\mVQCdXI.exe
  2⤵
  PID:8988
- C:\Windows\System32\JxGFQcL.exe
  C:\Windows\System32\JxGFQcL.exe
  2⤵
  PID:9024
- C:\Windows\System32\YlTfold.exe
  C:\Windows\System32\YlTfold.exe
  2⤵
  PID:9124
- C:\Windows\System32\KxrkkDV.exe
  C:\Windows\System32\KxrkkDV.exe
  2⤵
  PID:9156
- C:\Windows\System32\oJafRwm.exe
  C:\Windows\System32\oJafRwm.exe
  2⤵
  PID:7576
- C:\Windows\System32\LYvUqUO.exe
  C:\Windows\System32\LYvUqUO.exe
  2⤵
  PID:8236
- C:\Windows\System32\JKNyNtx.exe
  C:\Windows\System32\JKNyNtx.exe
  2⤵
  PID:8580
- C:\Windows\System32\qrWKGGR.exe
  C:\Windows\System32\qrWKGGR.exe
  2⤵
  PID:8812
- C:\Windows\System32\JjDopLo.exe
  C:\Windows\System32\JjDopLo.exe
  2⤵
  PID:8952
- C:\Windows\System32\WMMWTSy.exe
  C:\Windows\System32\WMMWTSy.exe
  2⤵
  PID:9104
- C:\Windows\System32\tlUyUyE.exe
  C:\Windows\System32\tlUyUyE.exe
  2⤵
  PID:9172
- C:\Windows\System32\vPgIbRJ.exe
  C:\Windows\System32\vPgIbRJ.exe
  2⤵
  PID:8500
- C:\Windows\System32\rZqcjhL.exe
  C:\Windows\System32\rZqcjhL.exe
  2⤵
  PID:4408
- C:\Windows\System32\vIojnth.exe
  C:\Windows\System32\vIojnth.exe
  2⤵
  PID:9160
- C:\Windows\System32\ggdRpaR.exe
  C:\Windows\System32\ggdRpaR.exe
  2⤵
  PID:9080
- C:\Windows\System32\zeFzJJh.exe
  C:\Windows\System32\zeFzJJh.exe
  2⤵
  PID:8396
- C:\Windows\System32\IJDqZkr.exe
  C:\Windows\System32\IJDqZkr.exe
  2⤵
  PID:9236
- C:\Windows\System32\caYcwYT.exe
  C:\Windows\System32\caYcwYT.exe
  2⤵
  PID:9264
- C:\Windows\System32\PpYHLOW.exe
  C:\Windows\System32\PpYHLOW.exe
  2⤵
  PID:9292
- C:\Windows\System32\GoVIGBo.exe
  C:\Windows\System32\GoVIGBo.exe
  2⤵
  PID:9308
- C:\Windows\System32\qrEQwzR.exe
  C:\Windows\System32\qrEQwzR.exe
  2⤵
  PID:9332
- C:\Windows\System32\ogbRTWQ.exe
  C:\Windows\System32\ogbRTWQ.exe
  2⤵
  PID:9352
- C:\Windows\System32\NWsajCj.exe
  C:\Windows\System32\NWsajCj.exe
  2⤵
  PID:9400
- C:\Windows\System32\zRoNdJd.exe
  C:\Windows\System32\zRoNdJd.exe
  2⤵
  PID:9432
- C:\Windows\System32\bUGWNdo.exe
  C:\Windows\System32\bUGWNdo.exe
  2⤵
  PID:9452
- C:\Windows\System32\ygMzLQb.exe
  C:\Windows\System32\ygMzLQb.exe
  2⤵
  PID:9500
- C:\Windows\System32\IbDStGU.exe
  C:\Windows\System32\IbDStGU.exe
  2⤵
  PID:9524
- C:\Windows\System32\xMbxVkW.exe
  C:\Windows\System32\xMbxVkW.exe
  2⤵
  PID:9544
- C:\Windows\System32\RQQLsCQ.exe
  C:\Windows\System32\RQQLsCQ.exe
  2⤵
  PID:9564
- C:\Windows\System32\ujcClBr.exe
  C:\Windows\System32\ujcClBr.exe
  2⤵
  PID:9600
- C:\Windows\System32\GBBUFMp.exe
  C:\Windows\System32\GBBUFMp.exe
  2⤵
  PID:9636
- C:\Windows\System32\wYAYMHK.exe
  C:\Windows\System32\wYAYMHK.exe
  2⤵
  PID:9668
- C:\Windows\System32\NbGpEeO.exe
  C:\Windows\System32\NbGpEeO.exe
  2⤵
  PID:9688
- C:\Windows\System32\KAMvOzL.exe
  C:\Windows\System32\KAMvOzL.exe
  2⤵
  PID:9712
- C:\Windows\System32\EkqyQNk.exe
  C:\Windows\System32\EkqyQNk.exe
  2⤵
  PID:9728
- C:\Windows\System32\YXHXwyV.exe
  C:\Windows\System32\YXHXwyV.exe
  2⤵
  PID:9768
- C:\Windows\System32\QkUSALl.exe
  C:\Windows\System32\QkUSALl.exe
  2⤵
  PID:9800
- C:\Windows\System32\eqVqxfl.exe
  C:\Windows\System32\eqVqxfl.exe
  2⤵
  PID:9816
- C:\Windows\System32\mxXEAMo.exe
  C:\Windows\System32\mxXEAMo.exe
  2⤵
  PID:9848
- C:\Windows\System32\euBusnd.exe
  C:\Windows\System32\euBusnd.exe
  2⤵
  PID:9880
- C:\Windows\System32\FdtkKoF.exe
  C:\Windows\System32\FdtkKoF.exe
  2⤵
  PID:9920
- C:\Windows\System32\TJZSoqV.exe
  C:\Windows\System32\TJZSoqV.exe
  2⤵
  PID:9936
- C:\Windows\System32\QNynmdG.exe
  C:\Windows\System32\QNynmdG.exe
  2⤵
  PID:9968
- C:\Windows\System32\YShuUju.exe
  C:\Windows\System32\YShuUju.exe
  2⤵
  PID:10000
- C:\Windows\System32\PidxOIX.exe
  C:\Windows\System32\PidxOIX.exe
  2⤵
  PID:10032
- C:\Windows\System32\BSmMXZo.exe
  C:\Windows\System32\BSmMXZo.exe
  2⤵
  PID:10060
- C:\Windows\System32\NTCgkpd.exe
  C:\Windows\System32\NTCgkpd.exe
  2⤵
  PID:10084
- C:\Windows\System32\ECzILmS.exe
  C:\Windows\System32\ECzILmS.exe
  2⤵
  PID:10104
- C:\Windows\System32\nkvxsnJ.exe
  C:\Windows\System32\nkvxsnJ.exe
  2⤵
  PID:10132
- C:\Windows\System32\LjZqFkT.exe
  C:\Windows\System32\LjZqFkT.exe
  2⤵
  PID:10160
- C:\Windows\System32\JdHrGWv.exe
  C:\Windows\System32\JdHrGWv.exe
  2⤵
  PID:10200
- C:\Windows\System32\IumBers.exe
  C:\Windows\System32\IumBers.exe
  2⤵
  PID:10224
- C:\Windows\System32\aDacsVq.exe
  C:\Windows\System32\aDacsVq.exe
  2⤵
  PID:9244
- C:\Windows\System32\tdUtIPo.exe
  C:\Windows\System32\tdUtIPo.exe
  2⤵
  PID:9280
- C:\Windows\System32\BqBKhYh.exe
  C:\Windows\System32\BqBKhYh.exe
  2⤵
  PID:9360
- C:\Windows\System32\CJaTCOO.exe
  C:\Windows\System32\CJaTCOO.exe
  2⤵
  PID:9428
- C:\Windows\System32\bmfUHhC.exe
  C:\Windows\System32\bmfUHhC.exe
  2⤵
  PID:9512
- C:\Windows\System32\xlLFQwP.exe
  C:\Windows\System32\xlLFQwP.exe
  2⤵
  PID:9572
- C:\Windows\System32\GLxmeMV.exe
  C:\Windows\System32\GLxmeMV.exe
  2⤵
  PID:9628
- C:\Windows\System32\qkBTXKW.exe
  C:\Windows\System32\qkBTXKW.exe
  2⤵
  PID:9724
- C:\Windows\System32\UWmbCaN.exe
  C:\Windows\System32\UWmbCaN.exe
  2⤵
  PID:9744
- C:\Windows\System32\lALNywB.exe
  C:\Windows\System32\lALNywB.exe
  2⤵
  PID:9808
- C:\Windows\System32\hpMcqOJ.exe
  C:\Windows\System32\hpMcqOJ.exe
  2⤵
  PID:9928
- C:\Windows\System32\ixTPslh.exe
  C:\Windows\System32\ixTPslh.exe
  2⤵
  PID:9960
- C:\Windows\System32\LOSvdFe.exe
  C:\Windows\System32\LOSvdFe.exe
  2⤵
  PID:10016
- C:\Windows\System32\xovJuNc.exe
  C:\Windows\System32\xovJuNc.exe
  2⤵
  PID:10128
- C:\Windows\System32\BuWDXPp.exe
  C:\Windows\System32\BuWDXPp.exe
  2⤵
  PID:10180
- C:\Windows\System32\dDMVgmU.exe
  C:\Windows\System32\dDMVgmU.exe
  2⤵
  PID:9232
- C:\Windows\System32\nLNGHmK.exe
  C:\Windows\System32\nLNGHmK.exe
  2⤵
  PID:9328
- C:\Windows\System32\eXidxfk.exe
  C:\Windows\System32\eXidxfk.exe
  2⤵
  PID:9484
- C:\Windows\System32\gWRGIul.exe
  C:\Windows\System32\gWRGIul.exe
  2⤵
  PID:9552
- C:\Windows\System32\omtRAYa.exe
  C:\Windows\System32\omtRAYa.exe
  2⤵
  PID:9708
- C:\Windows\System32\NnEVkHA.exe
  C:\Windows\System32\NnEVkHA.exe
  2⤵
  PID:9932
- C:\Windows\System32\LYvzAze.exe
  C:\Windows\System32\LYvzAze.exe
  2⤵
  PID:10092
- C:\Windows\System32\uyOPPrq.exe
  C:\Windows\System32\uyOPPrq.exe
  2⤵
  PID:9288
- C:\Windows\System32\AOzCpwZ.exe
  C:\Windows\System32\AOzCpwZ.exe
  2⤵
  PID:10008
- C:\Windows\System32\MpVPjvw.exe
  C:\Windows\System32\MpVPjvw.exe
  2⤵
  PID:9948
- C:\Windows\System32\tDoCZMb.exe
  C:\Windows\System32\tDoCZMb.exe
  2⤵
  PID:9612
- C:\Windows\System32\LlIqpMm.exe
  C:\Windows\System32\LlIqpMm.exe
  2⤵
  PID:8700
- C:\Windows\System32\qfeXwAD.exe
  C:\Windows\System32\qfeXwAD.exe
  2⤵
  PID:10260
- C:\Windows\System32\jGCYzkj.exe
  C:\Windows\System32\jGCYzkj.exe
  2⤵
  PID:10288
- C:\Windows\System32\aEzdsmd.exe
  C:\Windows\System32\aEzdsmd.exe
  2⤵
  PID:10304
- C:\Windows\System32\uHFudnQ.exe
  C:\Windows\System32\uHFudnQ.exe
  2⤵
  PID:10324
- C:\Windows\System32\zrMIYnR.exe
  C:\Windows\System32\zrMIYnR.exe
  2⤵
  PID:10344
- C:\Windows\System32\LwJLkue.exe
  C:\Windows\System32\LwJLkue.exe
  2⤵
  PID:10380
- C:\Windows\System32\tuaUoQj.exe
  C:\Windows\System32\tuaUoQj.exe
  2⤵
  PID:10456
- C:\Windows\System32\ZkRbngZ.exe
  C:\Windows\System32\ZkRbngZ.exe
  2⤵
  PID:10476
- C:\Windows\System32\WtYHJan.exe
  C:\Windows\System32\WtYHJan.exe
  2⤵
  PID:10560
- C:\Windows\System32\zODDxrI.exe
  C:\Windows\System32\zODDxrI.exe
  2⤵
  PID:10600
- C:\Windows\System32\xTZVcrW.exe
  C:\Windows\System32\xTZVcrW.exe
  2⤵
  PID:10656
- C:\Windows\System32\xqHzIHt.exe
  C:\Windows\System32\xqHzIHt.exe
  2⤵
  PID:10672
- C:\Windows\System32\PWLStRS.exe
  C:\Windows\System32\PWLStRS.exe
  2⤵
  PID:10688
- C:\Windows\System32\PFrlRoy.exe
  C:\Windows\System32\PFrlRoy.exe
  2⤵
  PID:10748
- C:\Windows\System32\ubWQSHb.exe
  C:\Windows\System32\ubWQSHb.exe
  2⤵
  PID:10792
- C:\Windows\System32\wZGuEUQ.exe
  C:\Windows\System32\wZGuEUQ.exe
  2⤵
  PID:10816
- C:\Windows\System32\DVoDTZf.exe
  C:\Windows\System32\DVoDTZf.exe
  2⤵
  PID:10852
- C:\Windows\System32\jOgTujt.exe
  C:\Windows\System32\jOgTujt.exe
  2⤵
  PID:10896
- C:\Windows\System32\teCHWPJ.exe
  C:\Windows\System32\teCHWPJ.exe
  2⤵
  PID:10912
- C:\Windows\System32\goOlLrv.exe
  C:\Windows\System32\goOlLrv.exe
  2⤵
  PID:10940
- C:\Windows\System32\dBVEDdG.exe
  C:\Windows\System32\dBVEDdG.exe
  2⤵
  PID:10980
- C:\Windows\System32\ZBnLtUF.exe
  C:\Windows\System32\ZBnLtUF.exe
  2⤵
  PID:11004
- C:\Windows\System32\OWyhyUz.exe
  C:\Windows\System32\OWyhyUz.exe
  2⤵
  PID:11032
- C:\Windows\System32\CPHvNoB.exe
  C:\Windows\System32\CPHvNoB.exe
  2⤵
  PID:11052
- C:\Windows\System32\wkmhvqu.exe
  C:\Windows\System32\wkmhvqu.exe
  2⤵
  PID:11080
- C:\Windows\System32\rNQQVZj.exe
  C:\Windows\System32\rNQQVZj.exe
  2⤵
  PID:11108
- C:\Windows\System32\jiOcaIh.exe
  C:\Windows\System32\jiOcaIh.exe
  2⤵
  PID:11136
- C:\Windows\System32\SXwyXZh.exe
  C:\Windows\System32\SXwyXZh.exe
  2⤵
  PID:11176
- C:\Windows\System32\OCvucsZ.exe
  C:\Windows\System32\OCvucsZ.exe
  2⤵
  PID:11192
- C:\Windows\System32\giipPMk.exe
  C:\Windows\System32\giipPMk.exe
  2⤵
  PID:11220
- C:\Windows\System32\OVEblIg.exe
  C:\Windows\System32\OVEblIg.exe
  2⤵
  PID:11240
- C:\Windows\System32\QNvlMAA.exe
  C:\Windows\System32\QNvlMAA.exe
  2⤵
  PID:9876
- C:\Windows\System32\EVBWBZl.exe
  C:\Windows\System32\EVBWBZl.exe
  2⤵
  PID:10276
- C:\Windows\System32\mfxlgrN.exe
  C:\Windows\System32\mfxlgrN.exe
  2⤵
  PID:10320
- C:\Windows\System32\gLLWrxa.exe
  C:\Windows\System32\gLLWrxa.exe
  2⤵
  PID:10420
- C:\Windows\System32\TmBtoAg.exe
  C:\Windows\System32\TmBtoAg.exe
  2⤵
  PID:10464
- C:\Windows\System32\bMWBQJY.exe
  C:\Windows\System32\bMWBQJY.exe
  2⤵
  PID:10520
- C:\Windows\System32\diLyzvk.exe
  C:\Windows\System32\diLyzvk.exe
  2⤵
  PID:10592
- C:\Windows\System32\flurvHc.exe
  C:\Windows\System32\flurvHc.exe
  2⤵
  PID:10548
- C:\Windows\System32\YmLNRtj.exe
  C:\Windows\System32\YmLNRtj.exe
  2⤵
  PID:10588
- C:\Windows\System32\pNEmXFr.exe
  C:\Windows\System32\pNEmXFr.exe
  2⤵
  PID:10724
- C:\Windows\System32\eJpufcU.exe
  C:\Windows\System32\eJpufcU.exe
  2⤵
  PID:10668
- C:\Windows\System32\QRaUhoB.exe
  C:\Windows\System32\QRaUhoB.exe
  2⤵
  PID:10904
- C:\Windows\System32\LLdJrcW.exe
  C:\Windows\System32\LLdJrcW.exe
  2⤵
  PID:11120
- C:\Windows\System32\pgBeINr.exe
  C:\Windows\System32\pgBeINr.exe
  2⤵
  PID:11232
- C:\Windows\System32\acPihGT.exe
  C:\Windows\System32\acPihGT.exe
  2⤵
  PID:10312
- C:\Windows\System32\zUHHGWE.exe
  C:\Windows\System32\zUHHGWE.exe
  2⤵
  PID:10396
- C:\Windows\System32\XyjvuUj.exe
  C:\Windows\System32\XyjvuUj.exe
  2⤵
  PID:10504
- C:\Windows\System32\CEsIyqA.exe
  C:\Windows\System32\CEsIyqA.exe
  2⤵
  PID:10532
- C:\Windows\System32\VWPXlEC.exe
  C:\Windows\System32\VWPXlEC.exe
  2⤵
  PID:10776
- C:\Windows\System32\VspYtJb.exe
  C:\Windows\System32\VspYtJb.exe
  2⤵
  PID:10812
- C:\Windows\System32\IiTWiRW.exe
  C:\Windows\System32\IiTWiRW.exe
  2⤵
  PID:11076
- C:\Windows\System32\osAaHpo.exe
  C:\Windows\System32\osAaHpo.exe
  2⤵
  PID:11172
- C:\Windows\System32\KKMaOoo.exe
  C:\Windows\System32\KKMaOoo.exe
  2⤵
  PID:11204
- C:\Windows\System32\HgrzETS.exe
  C:\Windows\System32\HgrzETS.exe
  2⤵
  PID:10652
- C:\Windows\System32\KWtQfmT.exe
  C:\Windows\System32\KWtQfmT.exe
  2⤵
  PID:10928
- C:\Windows\System32\qlhioJS.exe
  C:\Windows\System32\qlhioJS.exe
  2⤵
  PID:10528
- C:\Windows\System32\TnYeEdg.exe
  C:\Windows\System32\TnYeEdg.exe
  2⤵
  PID:10572
- C:\Windows\System32\WRixDPF.exe
  C:\Windows\System32\WRixDPF.exe
  2⤵
  PID:10996
- C:\Windows\System32\AyHEyJR.exe
  C:\Windows\System32\AyHEyJR.exe
  2⤵
  PID:11012
- C:\Windows\System32\KTtlzTN.exe
  C:\Windows\System32\KTtlzTN.exe
  2⤵
  PID:11096
- C:\Windows\System32\NisItVM.exe
  C:\Windows\System32\NisItVM.exe
  2⤵
  PID:10756
- C:\Windows\System32\YmUBfTG.exe
  C:\Windows\System32\YmUBfTG.exe
  2⤵
  PID:10908
- C:\Windows\System32\fjfJmxJ.exe
  C:\Windows\System32\fjfJmxJ.exe
  2⤵
  PID:11156
- C:\Windows\System32\QIExdaQ.exe
  C:\Windows\System32\QIExdaQ.exe
  2⤵
  PID:11284
- C:\Windows\System32\aiIzNWP.exe
  C:\Windows\System32\aiIzNWP.exe
  2⤵
  PID:11312
- C:\Windows\System32\oeKpNeS.exe
  C:\Windows\System32\oeKpNeS.exe
  2⤵
  PID:11328
- C:\Windows\System32\zcEkHxH.exe
  C:\Windows\System32\zcEkHxH.exe
  2⤵
  PID:11388
- C:\Windows\System32\NhhgKtz.exe
  C:\Windows\System32\NhhgKtz.exe
  2⤵
  PID:11408
- C:\Windows\System32\YllgyIO.exe
  C:\Windows\System32\YllgyIO.exe
  2⤵
  PID:11436
- C:\Windows\System32\rokYBmq.exe
  C:\Windows\System32\rokYBmq.exe
  2⤵
  PID:11460
- C:\Windows\System32\iDftCAQ.exe
  C:\Windows\System32\iDftCAQ.exe
  2⤵
  PID:11500
- C:\Windows\System32\oWgjeff.exe
  C:\Windows\System32\oWgjeff.exe
  2⤵
  PID:11520
- C:\Windows\System32\RZWxBGI.exe
  C:\Windows\System32\RZWxBGI.exe
  2⤵
  PID:11544
- C:\Windows\System32\ITmRmQn.exe
  C:\Windows\System32\ITmRmQn.exe
  2⤵
  PID:11584
- C:\Windows\System32\egnoHOz.exe
  C:\Windows\System32\egnoHOz.exe
  2⤵
  PID:11608
- C:\Windows\System32\bcmfVCs.exe
  C:\Windows\System32\bcmfVCs.exe
  2⤵
  PID:11628
- C:\Windows\System32\FbvCtqL.exe
  C:\Windows\System32\FbvCtqL.exe
  2⤵
  PID:11656
- C:\Windows\System32\QGHmHmY.exe
  C:\Windows\System32\QGHmHmY.exe
  2⤵
  PID:11672
- C:\Windows\System32\ibTGcGS.exe
  C:\Windows\System32\ibTGcGS.exe
  2⤵
  PID:11720
- C:\Windows\System32\FqyjsVL.exe
  C:\Windows\System32\FqyjsVL.exe
  2⤵
  PID:11752
- C:\Windows\System32\SYIywlQ.exe
  C:\Windows\System32\SYIywlQ.exe
  2⤵
  PID:11768
- C:\Windows\System32\zQEQEid.exe
  C:\Windows\System32\zQEQEid.exe
  2⤵
  PID:11796
- C:\Windows\System32\tAZVSSu.exe
  C:\Windows\System32\tAZVSSu.exe
  2⤵
  PID:11820
- C:\Windows\System32\HRuxuZM.exe
  C:\Windows\System32\HRuxuZM.exe
  2⤵
  PID:11868
- C:\Windows\System32\ZDHzvRd.exe
  C:\Windows\System32\ZDHzvRd.exe
  2⤵
  PID:11892
- C:\Windows\System32\werpOfB.exe
  C:\Windows\System32\werpOfB.exe
  2⤵
  PID:11924
- C:\Windows\System32\nCcYwbV.exe
  C:\Windows\System32\nCcYwbV.exe
  2⤵
  PID:11948
- C:\Windows\System32\FNsvIod.exe
  C:\Windows\System32\FNsvIod.exe
  2⤵
  PID:11968
- C:\Windows\System32\XcUhEnR.exe
  C:\Windows\System32\XcUhEnR.exe
  2⤵
  PID:12008
- C:\Windows\System32\bfsHmez.exe
  C:\Windows\System32\bfsHmez.exe
  2⤵
  PID:12044
- C:\Windows\System32\lZcNYtI.exe
  C:\Windows\System32\lZcNYtI.exe
  2⤵
  PID:12064
- C:\Windows\System32\VlkHcOi.exe
  C:\Windows\System32\VlkHcOi.exe
  2⤵
  PID:12080
- C:\Windows\System32\wfUTBHL.exe
  C:\Windows\System32\wfUTBHL.exe
  2⤵
  PID:12120
- C:\Windows\System32\ADcWadx.exe
  C:\Windows\System32\ADcWadx.exe
  2⤵
  PID:12148
- C:\Windows\System32\frIRGWC.exe
  C:\Windows\System32\frIRGWC.exe
  2⤵
  PID:12172
- C:\Windows\System32\EpgXlKv.exe
  C:\Windows\System32\EpgXlKv.exe
  2⤵
  PID:12192
- C:\Windows\System32\vsSmMHV.exe
  C:\Windows\System32\vsSmMHV.exe
  2⤵
  PID:12228
- C:\Windows\System32\rYrsvdk.exe
  C:\Windows\System32\rYrsvdk.exe
  2⤵
  PID:12244
- C:\Windows\System32\fDpomqy.exe
  C:\Windows\System32\fDpomqy.exe
  2⤵
  PID:12276
- C:\Windows\System32\wtBBVsk.exe
  C:\Windows\System32\wtBBVsk.exe
  2⤵
  PID:11280
- C:\Windows\System32\USMyzBd.exe
  C:\Windows\System32\USMyzBd.exe
  2⤵
  PID:11348
- C:\Windows\System32\qQfsBcz.exe
  C:\Windows\System32\qQfsBcz.exe
  2⤵
  PID:11372
- C:\Windows\System32\WfRvCFs.exe
  C:\Windows\System32\WfRvCFs.exe
  2⤵
  PID:11424
- C:\Windows\System32\wnePdzL.exe
  C:\Windows\System32\wnePdzL.exe
  2⤵
  PID:11572
- C:\Windows\System32\zGiUnAr.exe
  C:\Windows\System32\zGiUnAr.exe
  2⤵
  PID:11624
- C:\Windows\System32\PqChUDO.exe
  C:\Windows\System32\PqChUDO.exe
  2⤵
  PID:11664
- C:\Windows\System32\afwMQVE.exe
  C:\Windows\System32\afwMQVE.exe
  2⤵
  PID:11748
- C:\Windows\System32\NTOBidw.exe
  C:\Windows\System32\NTOBidw.exe
  2⤵
  PID:11816
- C:\Windows\System32\cidMhNz.exe
  C:\Windows\System32\cidMhNz.exe
  2⤵
  PID:11916
- C:\Windows\System32\YaxVjib.exe
  C:\Windows\System32\YaxVjib.exe
  2⤵
  PID:11960
- C:\Windows\System32\dkucjIg.exe
  C:\Windows\System32\dkucjIg.exe
  2⤵
  PID:12024
- C:\Windows\System32\CsqgCSd.exe
  C:\Windows\System32\CsqgCSd.exe
  2⤵
  PID:12096
- C:\Windows\System32\penoFxt.exe
  C:\Windows\System32\penoFxt.exe
  2⤵
  PID:12180
- C:\Windows\System32\tegddDo.exe
  C:\Windows\System32\tegddDo.exe
  2⤵
  PID:12240
- C:\Windows\System32\whneQdY.exe
  C:\Windows\System32\whneQdY.exe
  2⤵
  PID:12264
- C:\Windows\System32\CgXgROY.exe
  C:\Windows\System32\CgXgROY.exe
  2⤵
  PID:11380
- C:\Windows\System32\kPhVAoY.exe
  C:\Windows\System32\kPhVAoY.exe
  2⤵
  PID:11404
- C:\Windows\System32\BpiYOwF.exe
  C:\Windows\System32\BpiYOwF.exe
  2⤵
  PID:11496
- C:\Windows\System32\AvSQpIM.exe
  C:\Windows\System32\AvSQpIM.exe
  2⤵
  PID:11652
- C:\Windows\System32\bGRZqFd.exe
  C:\Windows\System32\bGRZqFd.exe
  2⤵
  PID:11812
- C:\Windows\System32\KlmPPsA.exe
  C:\Windows\System32\KlmPPsA.exe
  2⤵
  PID:11944
- C:\Windows\System32\WIyqram.exe
  C:\Windows\System32\WIyqram.exe
  2⤵
  PID:12072
- C:\Windows\System32\YtiJhFU.exe
  C:\Windows\System32\YtiJhFU.exe
  2⤵
  PID:12204
- C:\Windows\System32\mIlcUkR.exe
  C:\Windows\System32\mIlcUkR.exe
  2⤵
  PID:3380
- C:\Windows\System32\ivozISH.exe
  C:\Windows\System32\ivozISH.exe
  2⤵
  PID:11596
- C:\Windows\System32\dTdYEVF.exe
  C:\Windows\System32\dTdYEVF.exe
  2⤵
  PID:11904
- C:\Windows\System32\dWeacte.exe
  C:\Windows\System32\dWeacte.exe
  2⤵
  PID:12236
- C:\Windows\System32\WrPxTXv.exe
  C:\Windows\System32\WrPxTXv.exe
  2⤵
  PID:11776
- C:\Windows\System32\YJMpfZc.exe
  C:\Windows\System32\YJMpfZc.exe
  2⤵
  PID:12304
- C:\Windows\System32\GSuegWp.exe
  C:\Windows\System32\GSuegWp.exe
  2⤵
  PID:12332
- C:\Windows\System32\eYVDkEv.exe
  C:\Windows\System32\eYVDkEv.exe
  2⤵
  PID:12380
- C:\Windows\System32\RZdwHCS.exe
  C:\Windows\System32\RZdwHCS.exe
  2⤵
  PID:12404
- C:\Windows\System32\YkHEqBA.exe
  C:\Windows\System32\YkHEqBA.exe
  2⤵
  PID:12428
- C:\Windows\System32\XBcXdZP.exe
  C:\Windows\System32\XBcXdZP.exe
  2⤵
  PID:12444
- C:\Windows\System32\ReJKyAP.exe
  C:\Windows\System32\ReJKyAP.exe
  2⤵
  PID:12460
- C:\Windows\System32\PwsmRWq.exe
  C:\Windows\System32\PwsmRWq.exe
  2⤵
  PID:12500
- C:\Windows\System32\cCkLtyx.exe
  C:\Windows\System32\cCkLtyx.exe
  2⤵
  PID:12536
- C:\Windows\System32\utoTaND.exe
  C:\Windows\System32\utoTaND.exe
  2⤵
  PID:12568
- C:\Windows\System32\mNJRpVa.exe
  C:\Windows\System32\mNJRpVa.exe
  2⤵
  PID:12604
- C:\Windows\System32\cIjkghF.exe
  C:\Windows\System32\cIjkghF.exe
  2⤵
  PID:12624
- C:\Windows\System32\Pajxqye.exe
  C:\Windows\System32\Pajxqye.exe
  2⤵
  PID:12648
- C:\Windows\System32\DEyEHuJ.exe
  C:\Windows\System32\DEyEHuJ.exe
  2⤵
  PID:12668
- C:\Windows\System32\UVAhigy.exe
  C:\Windows\System32\UVAhigy.exe
  2⤵
  PID:12704
- C:\Windows\System32\rVEmbVi.exe
  C:\Windows\System32\rVEmbVi.exe
  2⤵
  PID:12728
- C:\Windows\System32\HVXIFYd.exe
  C:\Windows\System32\HVXIFYd.exe
  2⤵
  PID:12752
- C:\Windows\System32\ccXUzJI.exe
  C:\Windows\System32\ccXUzJI.exe
  2⤵
  PID:12800
- C:\Windows\System32\kKitkjG.exe
  C:\Windows\System32\kKitkjG.exe
  2⤵
  PID:12832
- C:\Windows\System32\sZuyYXf.exe
  C:\Windows\System32\sZuyYXf.exe
  2⤵
  PID:12852
- C:\Windows\System32\pmEJHZT.exe
  C:\Windows\System32\pmEJHZT.exe
  2⤵
  PID:12876
- C:\Windows\System32\DgGoPHx.exe
  C:\Windows\System32\DgGoPHx.exe
  2⤵
  PID:12896
- C:\Windows\System32\WGNPIyD.exe
  C:\Windows\System32\WGNPIyD.exe
  2⤵
  PID:12920
- C:\Windows\System32\eGTbuCf.exe
  C:\Windows\System32\eGTbuCf.exe
  2⤵
  PID:12944
- C:\Windows\System32\puMCbfw.exe
  C:\Windows\System32\puMCbfw.exe
  2⤵
  PID:12960
- C:\Windows\System32\yKqBfvv.exe
  C:\Windows\System32\yKqBfvv.exe
  2⤵
  PID:12980
- C:\Windows\System32\KaHMwPf.exe
  C:\Windows\System32\KaHMwPf.exe
  2⤵
  PID:13020
- C:\Windows\System32\SPclftf.exe
  C:\Windows\System32\SPclftf.exe
  2⤵
  PID:13068
- C:\Windows\System32\RSaoGuV.exe
  C:\Windows\System32\RSaoGuV.exe
  2⤵
  PID:13096
- C:\Windows\System32\EErBvnL.exe
  C:\Windows\System32\EErBvnL.exe
  2⤵
  PID:13116
- C:\Windows\System32\xDmDtcX.exe
  C:\Windows\System32\xDmDtcX.exe
  2⤵
  PID:13156
- C:\Windows\System32\wqLOurj.exe
  C:\Windows\System32\wqLOurj.exe
  2⤵
  PID:13172
- C:\Windows\System32\dBeGPsD.exe
  C:\Windows\System32\dBeGPsD.exe
  2⤵
  PID:13192
- C:\Windows\System32\DqPppwh.exe
  C:\Windows\System32\DqPppwh.exe
  2⤵
  PID:13216
- C:\Windows\System32\suYzzWk.exe
  C:\Windows\System32\suYzzWk.exe
  2⤵
  PID:13232
- C:\Windows\System32\vlWuzhx.exe
  C:\Windows\System32\vlWuzhx.exe
  2⤵
  PID:13288
- C:\Windows\System32\uzKteih.exe
  C:\Windows\System32\uzKteih.exe
  2⤵
  PID:12328
- C:\Windows\System32\LOfBXis.exe
  C:\Windows\System32\LOfBXis.exe
  2⤵
  PID:12396
- C:\Windows\System32\ANvKxEg.exe
  C:\Windows\System32\ANvKxEg.exe
  2⤵
  PID:12424
- - C:\Windows\system32\WerFault.exe
    C:\Windows\system32\WerFault.exe -u -p 12424 -s 244
    3⤵
    PID:1960

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12632

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AKgkRtB.exe

Filesize
1.4MB

MD5
20b165d45092635db7067dc72f74a07c

SHA1
f61d1746f09d9b22669dd8604bf959499e6a6ca9

SHA256
bbf65d3f71f332d08f1f8ea03117d5aa7a2dfb111a8b2cbafa1833b4c99e5d1d

SHA512
1fa09f5eb6e6368c6955421515fcbf31ea05dfe81cafaf02d4751ab41a324b35145896a54ef2b542656e55b5a633d38c240a36db7457534cf61e5cfbabbb36be

Download Submit
C:\Windows\System32\AvRgctr.exe

Filesize
1.3MB

MD5
73044502a96d72405c3a8e13c4f16348

SHA1
e4c0dcd28feb9018cf4c0ece941709b992314b88

SHA256
40b805e4ec49f74faf1fe34f79303ea00ee47f058a3a670cd182a343572955b9

SHA512
84717bb74f28fc33e40f2b192aca3f7e21a9a12cb4536764d9da6995b4fc209c7df5069be5a28dad66793341d902a2b09294599da4383c6daf9d27275c640049

Download Submit
C:\Windows\System32\BrwrycQ.exe

Filesize
1.3MB

MD5
e970d7a070b9d2e875e72ad8cd04f42e

SHA1
d991fedc73539f6fcce64ba10565406a5e4a1c1d

SHA256
225a5ae9d32737cde452c2239f0f4457c1516bed34e1142935a2477bc1bb1c97

SHA512
7ff2098608d20b8f82cc7f3b14f9d810830b4da2c6894d68517f1c9adfa8ad6d4300c15b92257b4e7a9c47d77fab6ef4f79320fc557154e95484f0eb54256028

Download Submit
C:\Windows\System32\CicVDsn.exe

Filesize
1.3MB

MD5
84a9eef1fa4170ac98868c72978368f2

SHA1
402f5913aacfab83a203f5313e9187a6c9c6d07b

SHA256
5bde453b6c5cfd33eaf4b57a1c02a79ad7f5230622ed0c0eea5d2d7e51e4aad2

SHA512
4ff2cd95c41e45d46f3c8719268a11cc41d6c097ad7d9f2ad27320020478586a131de3c49c83162b0164605812e726cbbd8a7fb7e12a95ef4803af90bc8af95c

Download Submit
C:\Windows\System32\DduFIqz.exe

Filesize
1.4MB

MD5
37468b911440bb898a69a4b9a9474ccf

SHA1
f5d7dc095a29077d5d18f9540781a9841fcd87c5

SHA256
600ee416c946dd3376541ee76084f7a5ae8f7e37625da839722626cf1da889e3

SHA512
b370a70fc697e3de556b32a8841b5428240c3b1c9f325bbf48c1f6757e1c9255114c48b68b77d9285de6fa83308fe8a578a9cb8448c5bc631a321837d4cca491

Download Submit
C:\Windows\System32\DtyLNgY.exe

Filesize
1.4MB

MD5
d0df14d78967e14eb2a32d4569ba190f

SHA1
7c3eae23650f191a9e68d33b492fb4499241b6ba

SHA256
ac0316efd7a7f29861efb6b50fda3632c3099751875624d7be0abb127b50b0f2

SHA512
aaace4bca0fa725a7ddc4b9cdf1048f98c6a37b539895eeb9651d824b75c1429704c5a73d075b76f4416528616f59c5f078a7d61c75df39e5866f6c3c66f3378

Download Submit
C:\Windows\System32\HJKXfzD.exe

Filesize
1.3MB

MD5
78a0484e000569742c7a433fe02269a8

SHA1
c899d9442c850932ad9b501f25a4e616dfc512d6

SHA256
13fdac668aef6a7991c83343436d1525be60d0de0ad072a2d68726da8c2aaa7c

SHA512
e9fc7abffd964a42b56f02aa7980e7e4014df6c371e1314fd2ca47ab025729b4623428ce33c7638eca2152e708c128d47610951bd3866b869fdc4284c4d2f35d

Download Submit
C:\Windows\System32\JnUSFUE.exe

Filesize
1.3MB

MD5
2f51bf0a4a91777901b865809e03e215

SHA1
1c96085e47986271700336f1ef29d4e6719466ca

SHA256
7dbe3254e93e21a0b3c3047b179a0cbfc795967816233b50c311f2dcdb51830e

SHA512
bdfb755b478475cccec4502fb3d93c6fa512e24306194a2cb0737001e04f7ff5f8d34a818a70760edd2c6b57292dc0ee0aa8d36e934c5794ddc7f6ffb74dde37

Download Submit
C:\Windows\System32\KYpLkjl.exe

Filesize
1.3MB

MD5
29a57a7b056fdc50961d90edb698ebc7

SHA1
f06451023149bf481a536bf252f506d309a11b9d

SHA256
54ec295b6e8a0b09ffcf8ee49619eb836d76f81aac90df86fb530e9b5e1da51c

SHA512
fc2ceafd331ba26c0c517181fafcfeb9867d24ee9422bf07b6841c956bca108c5c2b378e1172f1ed657f2fdc6e807860ff2dcf7bc5da1ad6523ccd18ef85b25f

Download Submit
C:\Windows\System32\KzreRYk.exe

Filesize
1.3MB

MD5
a02684f2d4d86fe779d468fb4a38a4d1

SHA1
721f8784fb3d1c17fe2f1f22cbcb8f403c118d90

SHA256
f27c4e98a2a8b36a754f5c5563168f77fe86695886f7ab00f37d6f95d1434492

SHA512
fba7e901e1b86b7326c3872ff0c1e582f4f95164f9e8eff10bab6eefa38cd1cfe935a0232a3a519759bf8247d1d96f21b7cfe9c9f7998205d7a6c2b309b804f0

Download Submit
C:\Windows\System32\LDlxuAn.exe

Filesize
1.3MB

MD5
912de32a44eb61c2483b45a6e58dde86

SHA1
b6ef714523e57c34aca2ff4862fedba2f0eddb12

SHA256
de703443a07bd3c3a3a54dd300e57f261c51439c9b5e4e1c2d80bbf1d782450b

SHA512
fdb23b0df01033b44bcd79f870057586b01196df3abc384e0a7f214d45954d78aa894e5314184e5fb54fa814f9d31068ccaad1f8f1ab1db0b55892caf84f6fc7

Download Submit
C:\Windows\System32\PJjhRWg.exe

Filesize
1.3MB

MD5
dead3c32fb8617aa953e44ff755c74ed

SHA1
1c6191760e3ff89f7730f414aec85de5ff44315d

SHA256
b46580332c1e9b3d0586201352f3b6e5439e2ad1ea088f2032ad693bc6414820

SHA512
e8384d649fbfef0879a825b166f73d4aa9436c90b37d5f866689e0c14f5859b4b798fbd4f9ed6aeaaf718d9613d06ea46ea778bc835976ecbcd5e946bb4c16f5

Download Submit
C:\Windows\System32\PTxdgym.exe

Filesize
1.3MB

MD5
e5e26f0f0b2144f606cffb9a5f78f54d

SHA1
d97ac661bcb5e0120fdb57e1992f0e5c272bdbd5

SHA256
993da33097c84ea05eba0d6a734beae9d025073a6baafff3ea1ece8e239f7311

SHA512
f62ee49a1dbd6a9180be1d5f419e620c0993471ca45e4c0c9b0d46fd408688a87c203b05a478ef90bcf727713637ea754c8c4830409fa8c63cac204a2c6cae1a

Download Submit
C:\Windows\System32\PkIQfEZ.exe

Filesize
1.3MB

MD5
01903632387873dba78083f8118781ef

SHA1
9d603df1831da48e10af30afa9631d725fc10393

SHA256
2d97b6d2d29dd4623894c9d2192a5b3d22f10430929a7ebd28e6fc05daea08e4

SHA512
3c323a641a06a87e78290a0bd1db7a31f3452bb3d313b4a1c864ea394792b34658291f47d6801ce0ac52394bb8c3c76e4c61eefc991ad43b34a5c48c0cdf07e0

Download Submit
C:\Windows\System32\PvQKQdN.exe

Filesize
1.3MB

MD5
59de52ba17a0648fc1704845d70beaf1

SHA1
d0fff751f2cc0f447aef24137287b3a2e098ebed

SHA256
f6528a7a458818997e857f3e83c70e44f216dc643f8777a8036709182b4a3fe8

SHA512
68252a23c240aec83856678a3f0e41387aba4ff6089d6aa1c733f37ec429381b5a51d65f52c350269bd32c8e6036fbee51d91cc2a8c6102675e937419dfb603c

Download Submit
C:\Windows\System32\RhshKmr.exe

Filesize
1.3MB

MD5
a9c460d79ee35e1ef3be3b676597aa68

SHA1
67e30a364074231cd6fe14793566a30e867617bf

SHA256
6268ee830cd815958d868172e30284d73808ac0d4ce32eb298eb9572d6d11f1d

SHA512
257d4a4b70f53756d20be8bef0763b04091980e73f5f790a12729e248c5c0e5a88df655af713067f1bba481a0a52ab1005ef0b7af2baadcd676033a203cc621a

Download Submit
C:\Windows\System32\UyBDVBK.exe

Filesize
1.3MB

MD5
f417ad5453bcba269791167638382cac

SHA1
cb4e5dda50caf2a65896e2812d34cf26e0b057d4

SHA256
69184d46c52c77a6020179f7191bd0973f558bb6ebebbb3c755b4deb07452408

SHA512
ad93e26b5cc71a5aee4ac921f58d074d657c10f7202668072d2cc0fa36bdd8881368d5c86ff67c1c8a2e9eaabb8003c3571947136f6cb164d375ff4f6bf3f32d

Download Submit
C:\Windows\System32\UycmCJo.exe

Filesize
1.3MB

MD5
da931ef0a98139501bbd89432a132d76

SHA1
4146a77debeeaf018084c576b3538a1a16663ad6

SHA256
bbbcb836ea9952c3a85271747ff270c3e8fd69a18076dd5a951fd55f739366db

SHA512
0701408ece37c4f5a6bc8c1eb91182d5c4b0b45c3512754aab227d1669329b9196b977d3977b126d55c7775fdd9ee1e09b2dfa341760fded087937765130ee56

Download Submit
C:\Windows\System32\WbJXalZ.exe

Filesize
1.3MB

MD5
54a2f6152fbff0abdbbd78dc37973df3

SHA1
9b692bf4e3899afa6127283f2537f17388c44960

SHA256
0f6da985d9a38cadb2dd92cc8a08029edd954abe6dff3fe3e0a314f8e70ef9cb

SHA512
771c874776dc5340632ed85fa2555bd9210c3a1639ef7615b212a829db574ba3dd2ca04892116eaa3520e532ccf14091447687d617b072e91c4282750ba7ffd0

Download Submit
C:\Windows\System32\WeHkvoY.exe

Filesize
1.3MB

MD5
fdf92a083442f7bd0b40708784c7016e

SHA1
3dc4601311a6f0ca660874ec850e7f2fe98b0924

SHA256
1fa30d6c7be0a28d9fe274c6708656b40d786b24c6d9076b28a52b355113989b

SHA512
c4f831bbbb8f4194c4537f7da9585f3f9d7fc15987f1f355fee119e193d4c1600572ffdaea1e3e84f39cce7005362f29896e968127842f6225174e974e44b461

Download Submit
C:\Windows\System32\ZfKjyRO.exe

Filesize
1.4MB

MD5
785fd87d24f2dceac9dba87b57163f2f

SHA1
2a094c0980e91b4578b2a53574d209bf967758b6

SHA256
3bbef920390f5f59e67fc2db60e524a7b56a44dc87297b7ad14b321919640d17

SHA512
393d41872caeeba77b8495a3698e720b376d543474c5f7f3a390819b51c2baa7f9dad68791f075c783882cf4981cf4024847ae4cd455622d1de4a42ee76e1ffe

Download Submit
C:\Windows\System32\cNLtJAF.exe

Filesize
1.3MB

MD5
0bbf2df64a078195e9a05556f9b4dce3

SHA1
d0bfdb5de3d37c6343a26e61d1661938e6b16cf2

SHA256
0f98a794af37e20a9c84b949305c5c6d4dbafa363115274da1e9f96ed96006be

SHA512
d628b4715098f69f6858bdc6c06a78b7425fc77d153cdd3cf8995bab8f48ec89f9635737ff318638652077071d521e1308f2f3ec03f9bc6514072fb6ef4bce08

Download Submit
C:\Windows\System32\dHpnmHL.exe

Filesize
1.3MB

MD5
df01757515f298f3152617a84f9b73c0

SHA1
61d9b38e8e8b4d6efac0bcefc5b770f35d6b00fe

SHA256
ce76f6a1b490c0a52c6a7aa82a1dea30ecd715010d057c350c4f99e909852882

SHA512
c3a2ca3213531e5b8b7957490d54e0cd40328b4da39886ce32dfe9395f3272094a72e7595ef1af7e70457963513267962ad72ef9ed075c524548b9fe0f766045

Download Submit
C:\Windows\System32\hExPtNi.exe

Filesize
1.3MB

MD5
e9f0b8363e04ceb8f727f70783d515fa

SHA1
e33a35595fad2dbf746bf037059026c080ee86f0

SHA256
59bad08929f3c74ade6909cbc8da0d90a7b5cc3cb9c66080dfd3b3a0d3f478ae

SHA512
9d342185d7830e691acbdb7aa7a8b1c046d9bcd7d59612a3e79afe70a31a59481a34f94c3d90ee173d1eddcf16564304e760640501f86813e3f3493d56d7efff

Download Submit
C:\Windows\System32\hghfjIj.exe

Filesize
1.3MB

MD5
4333190b04a7e85a866e86b2cdf9ed5a

SHA1
4c43e59b8cbfad202ddc0497fb6cc6be47d22d6c

SHA256
e98c5585f12152ddb31980b4655d6d99766cfec3b802939381c3fabb55149563

SHA512
ce763e5c4dd44d8948ba9dd2804007beaca62fd81bc66694297ed6a5cbda80c2263c6aaf7fe7004739fd5e0cb19cebf0a8ba29232ec31cdedf857d196b5a2545

Download Submit
C:\Windows\System32\kueVxEz.exe

Filesize
1.3MB

MD5
a61bcfa99bdd6b3c1279c46739485131

SHA1
88c45d434adc613b12cc32686f9abb5fba5e2b50

SHA256
36c905696d9cfced49a1e0bf27c1555bfd517ca68d26bf5bc4e1fc33f78d93a4

SHA512
858aa66a67a340cff184c2fc3efd1f46f02a3542aa708ae42fa0b6627528e55cf77f6a13ad4d1d5c7a91d38ad1d42cdc1aa3cd4669fa396ac4252d3f67d9bfd3

Download Submit
C:\Windows\System32\oSfdNTk.exe

Filesize
1.3MB

MD5
9eba989c2c2205db32b7d027fbfbea31

SHA1
12b97cf0e45428d97af1019cc49a66c512dc2771

SHA256
49344a346e6029fd6ad68e138073b26cb1f822c23b5d9421c379cb01ed3d6298

SHA512
f228f48032ab9988c08a79cd0898108ac0ed6528315e6bdcfd94b0b2b242be962ea07d7e43e83dbadb290eb0807fba5b9691316310052ad44ec7a190b3035077

Download Submit
C:\Windows\System32\ofAtSal.exe

Filesize
1.3MB

MD5
ad0ecf8bbb55bcf9e15c9f6b98d07519

SHA1
9a24c3e11702449c6fa6bc66410e48a362014ae4

SHA256
6a5bc209c0ecbc52355c4b64e0595191b80cddbdfd0a80facd600d48268d2aa0

SHA512
c112e352c89cc5cebf59e84ecce488c040e4ae96bb12cfd19826e7e6d7105d167af3a65c1a801c8cb8010236b321315b34a45a9009da3ed367ae28d13488eddb

Download Submit
C:\Windows\System32\rxCSGQg.exe

Filesize
1.3MB

MD5
5cfd6b24c2157f1686a251a96d8b5ea0

SHA1
0506446547e5ff6f825c70c6e4d53ef73b64690f

SHA256
937fba305cc8259f0477e2e87796da8e291b0ca4695f48d0f14aad2bab008fab

SHA512
a7e953aaaca4418fa25ec35088f960a5cc02a0d0dbf042b81541bdf67fa0d4a2c5635e915b49719994438288f84f3725c18c629caf1770fe07ac6080fe9d01f2

Download Submit
C:\Windows\System32\wDdMqtx.exe

Filesize
1.3MB

MD5
5e61fd14f248694012358e2918b05042

SHA1
e8f558d675de3532fb0b2213e8ddc47f6e5b015c

SHA256
598d48cbfc8aff7dc1dd58470e35e5ea5b8e85fb2116af7305a539e903c5fb02

SHA512
d5bf70617d78c1c5a6b3cfc27aeabbde6d4e52232d954439ee998f4c770855a66d01521594d354d80c65ac5414c0a66d18900927385b99fbdd0c22359c768bf7

Download Submit
C:\Windows\System32\xgFLVtp.exe

Filesize
1.3MB

MD5
b08928c6922f59fc2b9c27234298a1e1

SHA1
40d25799be762a4549ac07bb9e15115f6c8ae269

SHA256
f49c860cfc74ca4bca3a1af1f0aa1fd5e34ca492460f54c6694e45a323b4231f

SHA512
7765e25a33e939ca9b28e26193da9a8d93fb1ad4a7535f244934e5faf5908a374900475c48800a4b728e574988071288faf0ade72dbc8f21a9e9be8e04264c6e

Download Submit
C:\Windows\System32\ygzBjoK.exe

Filesize
1.4MB

MD5
946622b88ad3064c5a0eb13a0562b8a7

SHA1
4cc2fe025a2b0e6c34a3cc6c1a61746a3eb8931c

SHA256
d4132e94df561a66136006bd54d64a5c31656cbcad5b2a82a304a1314e3d98f1

SHA512
e1616cb10118e8d0542b4fc66bdf334bb948d93545f0213550bbeeace53d65c1ba4ddf3a427a65cd97ed7e0ea77df853ecce06739d4ad7fe2edab0247219ec9c

Download Submit
C:\Windows\System32\zXUSXso.exe

Filesize
1.3MB

MD5
9e1bb8ff048ac1b165f5166b9f940ad5

SHA1
1d0a01f5e981e5049d5c12d504563844bea07701

SHA256
557531fc2a869c2603d030e8099110db3a5945898d8cea1426d4c8963b19fbb6

SHA512
e7716eb03cda54cf1676c60d04f27329fe8dd1477b767bdb654104967447d07653d49f8aa4fb6a09eddf5069fd812944206dff5f1462885a08ebabe761933219

Download Submit
memory/548-458-0x00007FF7FAF70000-0x00007FF7FB361000-memory.dmp

Filesize
3.9MB

Download
memory/548-2129-0x00007FF7FAF70000-0x00007FF7FB361000-memory.dmp

Filesize
3.9MB

Download
memory/864-1-0x000001463E2B0000-0x000001463E2C0000-memory.dmp

Filesize
64KB

Download
memory/864-0-0x00007FF6DCED0000-0x00007FF6DD2C1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-2114-0x00007FF7C65D0000-0x00007FF7C69C1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-452-0x00007FF7C65D0000-0x00007FF7C69C1000-memory.dmp

Filesize
3.9MB

Download
memory/1728-379-0x00007FF6AB810000-0x00007FF6ABC01000-memory.dmp

Filesize
3.9MB

Download
memory/1728-2033-0x00007FF6AB810000-0x00007FF6ABC01000-memory.dmp

Filesize
3.9MB

Download
memory/2008-2113-0x00007FF700990000-0x00007FF700D81000-memory.dmp

Filesize
3.9MB

Download
memory/2008-443-0x00007FF700990000-0x00007FF700D81000-memory.dmp

Filesize
3.9MB

Download
memory/2032-385-0x00007FF6751E0000-0x00007FF6755D1000-memory.dmp

Filesize
3.9MB

Download
memory/2032-2054-0x00007FF6751E0000-0x00007FF6755D1000-memory.dmp

Filesize
3.9MB

Download
memory/2396-2053-0x00007FF7C6710000-0x00007FF7C6B01000-memory.dmp

Filesize
3.9MB

Download
memory/2396-394-0x00007FF7C6710000-0x00007FF7C6B01000-memory.dmp

Filesize
3.9MB

Download
memory/2660-2143-0x00007FF69EDE0000-0x00007FF69F1D1000-memory.dmp

Filesize
3.9MB

Download
memory/2660-470-0x00007FF69EDE0000-0x00007FF69F1D1000-memory.dmp

Filesize
3.9MB

Download
memory/2716-15-0x00007FF768C60000-0x00007FF769051000-memory.dmp

Filesize
3.9MB

Download
memory/2716-1989-0x00007FF768C60000-0x00007FF769051000-memory.dmp

Filesize
3.9MB

Download
memory/3032-1987-0x00007FF792D60000-0x00007FF793151000-memory.dmp

Filesize
3.9MB

Download
memory/3032-17-0x00007FF792D60000-0x00007FF793151000-memory.dmp

Filesize
3.9MB

Download
memory/3032-2017-0x00007FF792D60000-0x00007FF793151000-memory.dmp

Filesize
3.9MB

Download
memory/3064-441-0x00007FF755F60000-0x00007FF756351000-memory.dmp

Filesize
3.9MB

Download
memory/3064-2103-0x00007FF755F60000-0x00007FF756351000-memory.dmp

Filesize
3.9MB

Download
memory/3148-428-0x00007FF6901E0000-0x00007FF6905D1000-memory.dmp

Filesize
3.9MB

Download
memory/3148-2088-0x00007FF6901E0000-0x00007FF6905D1000-memory.dmp

Filesize
3.9MB

Download
memory/3256-475-0x00007FF668B90000-0x00007FF668F81000-memory.dmp

Filesize
3.9MB

Download
memory/3256-2131-0x00007FF668B90000-0x00007FF668F81000-memory.dmp

Filesize
3.9MB

Download
memory/3448-390-0x00007FF79D050000-0x00007FF79D441000-memory.dmp

Filesize
3.9MB

Download
memory/3448-2051-0x00007FF79D050000-0x00007FF79D441000-memory.dmp

Filesize
3.9MB

Download
memory/3684-2029-0x00007FF795A30000-0x00007FF795E21000-memory.dmp

Filesize
3.9MB

Download
memory/3684-378-0x00007FF795A30000-0x00007FF795E21000-memory.dmp

Filesize
3.9MB

Download
memory/4160-398-0x00007FF6227A0000-0x00007FF622B91000-memory.dmp

Filesize
3.9MB

Download
memory/4160-2062-0x00007FF6227A0000-0x00007FF622B91000-memory.dmp

Filesize
3.9MB

Download
memory/4320-2013-0x00007FF7942E0000-0x00007FF7946D1000-memory.dmp

Filesize
3.9MB

Download
memory/4320-377-0x00007FF7942E0000-0x00007FF7946D1000-memory.dmp

Filesize
3.9MB

Download
memory/4328-404-0x00007FF757590000-0x00007FF757981000-memory.dmp

Filesize
3.9MB

Download
memory/4328-2070-0x00007FF757590000-0x00007FF757981000-memory.dmp

Filesize
3.9MB

Download
memory/4592-2080-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp

Filesize
3.9MB

Download
memory/4592-422-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp

Filesize
3.9MB

Download
memory/4624-2024-0x00007FF608390000-0x00007FF608781000-memory.dmp

Filesize
3.9MB

Download
memory/4624-491-0x00007FF608390000-0x00007FF608781000-memory.dmp

Filesize
3.9MB

Download
memory/4708-2151-0x00007FF7DC500000-0x00007FF7DC8F1000-memory.dmp

Filesize
3.9MB

Download
memory/4708-479-0x00007FF7DC500000-0x00007FF7DC8F1000-memory.dmp

Filesize
3.9MB

Download
memory/4760-415-0x00007FF7E6870000-0x00007FF7E6C61000-memory.dmp

Filesize
3.9MB

Download
memory/4760-2073-0x00007FF7E6870000-0x00007FF7E6C61000-memory.dmp

Filesize
3.9MB

Download
memory/4976-2090-0x00007FF790610000-0x00007FF790A01000-memory.dmp

Filesize
3.9MB

Download
memory/4976-435-0x00007FF790610000-0x00007FF790A01000-memory.dmp

Filesize
3.9MB

Download
memory/5016-2035-0x00007FF7C0430000-0x00007FF7C0821000-memory.dmp

Filesize
3.9MB

Download
memory/5016-380-0x00007FF7C0430000-0x00007FF7C0821000-memory.dmp

Filesize
3.9MB

Download
memory/5068-437-0x00007FF6C1650000-0x00007FF6C1A41000-memory.dmp

Filesize
3.9MB

Download
memory/5068-2100-0x00007FF6C1650000-0x00007FF6C1A41000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads