xmrig | 23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217

Analysis

max time kernel
150s
max time network
154s
platform
windows10-2004_x64
resource
win10v2004-20240730-en
resource tags

arch:x64arch:x86image:win10v2004-20240730-enlocale:en-usos:windows10-2004-x64system
submitted
01-08-2024 21:26

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
Size

1.7MB
MD5

3e5620734f00b4d0130188c916572795
SHA1

916209ac4a19fb962fc4005f161bb39faa2f6e14
SHA256

23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217
SHA512

de81dd1a7dc4669fe124d5d25b151bcd014b7636bdfd434bd3e0613ca41130aebfeb4b6fde594e3dc24ce31290a47b40d268968a097c29a521a92447c35c53a8
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlia+zzDwGpmbqD0CkG0L2tQZgGV0Bm2YkYnKwaAt0D:knw9oUUEEDlnJ2k2oj6tPYnAD

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 50 IoCs

miner

resource	yara_rule
behavioral2/memory/1448-21-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp	xmrig
behavioral2/memory/4488-26-0x00007FF6CC070000-0x00007FF6CC461000-memory.dmp	xmrig
behavioral2/memory/4332-384-0x00007FF67DB40000-0x00007FF67DF31000-memory.dmp	xmrig
behavioral2/memory/4244-387-0x00007FF67F790000-0x00007FF67FB81000-memory.dmp	xmrig
behavioral2/memory/1204-388-0x00007FF666330000-0x00007FF666721000-memory.dmp	xmrig
behavioral2/memory/5100-389-0x00007FF7403C0000-0x00007FF7407B1000-memory.dmp	xmrig
behavioral2/memory/32-390-0x00007FF6DA0A0000-0x00007FF6DA491000-memory.dmp	xmrig
behavioral2/memory/2208-391-0x00007FF668510000-0x00007FF668901000-memory.dmp	xmrig
behavioral2/memory/4260-392-0x00007FF77F420000-0x00007FF77F811000-memory.dmp	xmrig
behavioral2/memory/1156-386-0x00007FF60DA50000-0x00007FF60DE41000-memory.dmp	xmrig
behavioral2/memory/1680-393-0x00007FF6F2FF0000-0x00007FF6F33E1000-memory.dmp	xmrig
behavioral2/memory/3068-429-0x00007FF719700000-0x00007FF719AF1000-memory.dmp	xmrig
behavioral2/memory/3476-432-0x00007FF69FDF0000-0x00007FF6A01E1000-memory.dmp	xmrig
behavioral2/memory/2728-426-0x00007FF6CF4E0000-0x00007FF6CF8D1000-memory.dmp	xmrig
behavioral2/memory/3848-419-0x00007FF6365B0000-0x00007FF6369A1000-memory.dmp	xmrig
behavioral2/memory/3524-410-0x00007FF6B1410000-0x00007FF6B1801000-memory.dmp	xmrig
behavioral2/memory/2332-408-0x00007FF678770000-0x00007FF678B61000-memory.dmp	xmrig
behavioral2/memory/4044-399-0x00007FF72B6E0000-0x00007FF72BAD1000-memory.dmp	xmrig
behavioral2/memory/3140-396-0x00007FF6FFC60000-0x00007FF700051000-memory.dmp	xmrig
behavioral2/memory/3800-385-0x00007FF7A4570000-0x00007FF7A4961000-memory.dmp	xmrig
behavioral2/memory/1108-383-0x00007FF722350000-0x00007FF722741000-memory.dmp	xmrig
behavioral2/memory/3216-12-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp	xmrig
behavioral2/memory/3216-1962-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp	xmrig
behavioral2/memory/1448-1963-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp	xmrig
behavioral2/memory/3288-1996-0x00007FF644340000-0x00007FF644731000-memory.dmp	xmrig
behavioral2/memory/4100-1997-0x00007FF723450000-0x00007FF723841000-memory.dmp	xmrig
behavioral2/memory/3216-2003-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp	xmrig
behavioral2/memory/1448-2005-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp	xmrig
behavioral2/memory/4488-2007-0x00007FF6CC070000-0x00007FF6CC461000-memory.dmp	xmrig
behavioral2/memory/3288-2009-0x00007FF644340000-0x00007FF644731000-memory.dmp	xmrig
behavioral2/memory/1108-2011-0x00007FF722350000-0x00007FF722741000-memory.dmp	xmrig
behavioral2/memory/4332-2013-0x00007FF67DB40000-0x00007FF67DF31000-memory.dmp	xmrig
behavioral2/memory/4244-2017-0x00007FF67F790000-0x00007FF67FB81000-memory.dmp	xmrig
behavioral2/memory/1156-2019-0x00007FF60DA50000-0x00007FF60DE41000-memory.dmp	xmrig
behavioral2/memory/3800-2015-0x00007FF7A4570000-0x00007FF7A4961000-memory.dmp	xmrig
behavioral2/memory/5100-2027-0x00007FF7403C0000-0x00007FF7407B1000-memory.dmp	xmrig
behavioral2/memory/32-2025-0x00007FF6DA0A0000-0x00007FF6DA491000-memory.dmp	xmrig
behavioral2/memory/1204-2023-0x00007FF666330000-0x00007FF666721000-memory.dmp	xmrig
behavioral2/memory/4260-2021-0x00007FF77F420000-0x00007FF77F811000-memory.dmp	xmrig
behavioral2/memory/2208-2029-0x00007FF668510000-0x00007FF668901000-memory.dmp	xmrig
behavioral2/memory/2332-2039-0x00007FF678770000-0x00007FF678B61000-memory.dmp	xmrig
behavioral2/memory/3524-2041-0x00007FF6B1410000-0x00007FF6B1801000-memory.dmp	xmrig
behavioral2/memory/3068-2045-0x00007FF719700000-0x00007FF719AF1000-memory.dmp	xmrig
behavioral2/memory/3848-2037-0x00007FF6365B0000-0x00007FF6369A1000-memory.dmp	xmrig
behavioral2/memory/4044-2035-0x00007FF72B6E0000-0x00007FF72BAD1000-memory.dmp	xmrig
behavioral2/memory/2728-2043-0x00007FF6CF4E0000-0x00007FF6CF8D1000-memory.dmp	xmrig
behavioral2/memory/3476-2048-0x00007FF69FDF0000-0x00007FF6A01E1000-memory.dmp	xmrig
behavioral2/memory/1680-2033-0x00007FF6F2FF0000-0x00007FF6F33E1000-memory.dmp	xmrig
behavioral2/memory/3140-2031-0x00007FF6FFC60000-0x00007FF700051000-memory.dmp	xmrig
behavioral2/memory/4100-2160-0x00007FF723450000-0x00007FF723841000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3216	MoGQVkV.exe
1448	cpdXynm.exe
4488	TZcrHue.exe
3288	QEYwQzh.exe
4100	lquUuQk.exe
1108	zroQIhU.exe
4332	BDfnouW.exe
3800	kjDMIZU.exe
1156	tcexqwU.exe
4244	HQQylbM.exe
1204	weRvhTo.exe
5100	EJvLJUQ.exe
32	ADxkjhT.exe
2208	DwnlItT.exe
4260	AEBFlmr.exe
1680	fTcxyKu.exe
3140	pVfeVli.exe
4044	mEhhDZg.exe
2332	kjlVepe.exe
3524	degeMQt.exe
3848	eFtOLkw.exe
2728	jrHOvvt.exe
3068	fkdUmDO.exe
3476	rKmLjOu.exe
4860	rshraFk.exe
4992	aDVAYRR.exe
3196	mFTvjSj.exe
1168	iEUdCMu.exe
4360	Wbkwtil.exe
3136	ScghlQw.exe
2984	VgatjkM.exe
2236	TbNCLNM.exe
3260	UgMjGlZ.exe
2664	Tmcboby.exe
3760	pUGCjZP.exe
2132	lhWNtaq.exe
220	JAYSNKh.exe
944	FAEweKH.exe
2388	ceKFUro.exe
932	HSWUjwL.exe
1612	lIKdIQN.exe
1364	XZuclBJ.exe
3720	SFKSjac.exe
2056	VSbcJCx.exe
1028	ePmVdnj.exe
4772	qQmxAxZ.exe
5068	mJPSodl.exe
3576	LIMDQXC.exe
4156	uFbychh.exe
3852	QgoSSId.exe
2120	AiaOxNJ.exe
5076	pYEpPWr.exe
4460	uCDJqXo.exe
916	qbMaqTo.exe
2060	XnMfqcq.exe
3252	MUYNfUv.exe
1256	NaCzaPO.exe
4668	dtLOKbV.exe
2044	JazeUmt.exe
956	VDWtNNG.exe
2784	hqpjVyK.exe
5108	CUuzQzo.exe
1684	ApFrPOC.exe
1220	CWmJtcO.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4672-0-0x00007FF6FF7C0000-0x00007FF6FFBB1000-memory.dmp	upx
behavioral2/files/0x00090000000233e7-4.dat	upx
behavioral2/files/0x000700000002344b-9.dat	upx
behavioral2/files/0x000800000002344a-14.dat	upx
behavioral2/files/0x000700000002344c-17.dat	upx
behavioral2/memory/1448-21-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp	upx
behavioral2/memory/4488-26-0x00007FF6CC070000-0x00007FF6CC461000-memory.dmp	upx
behavioral2/files/0x000700000002344e-35.dat	upx
behavioral2/files/0x000700000002344f-43.dat	upx
behavioral2/files/0x0007000000023450-48.dat	upx
behavioral2/files/0x0007000000023451-53.dat	upx
behavioral2/files/0x0007000000023452-58.dat	upx
behavioral2/files/0x0007000000023454-68.dat	upx
behavioral2/files/0x0007000000023455-73.dat	upx
behavioral2/files/0x0007000000023459-87.dat	upx
behavioral2/files/0x000700000002345b-103.dat	upx
behavioral2/files/0x000700000002345c-108.dat	upx
behavioral2/files/0x0007000000023460-128.dat	upx
behavioral2/files/0x0007000000023462-138.dat	upx
behavioral2/memory/4332-384-0x00007FF67DB40000-0x00007FF67DF31000-memory.dmp	upx
behavioral2/memory/4244-387-0x00007FF67F790000-0x00007FF67FB81000-memory.dmp	upx
behavioral2/memory/1204-388-0x00007FF666330000-0x00007FF666721000-memory.dmp	upx
behavioral2/memory/5100-389-0x00007FF7403C0000-0x00007FF7407B1000-memory.dmp	upx
behavioral2/memory/32-390-0x00007FF6DA0A0000-0x00007FF6DA491000-memory.dmp	upx
behavioral2/memory/2208-391-0x00007FF668510000-0x00007FF668901000-memory.dmp	upx
behavioral2/memory/4260-392-0x00007FF77F420000-0x00007FF77F811000-memory.dmp	upx
behavioral2/memory/1156-386-0x00007FF60DA50000-0x00007FF60DE41000-memory.dmp	upx
behavioral2/memory/1680-393-0x00007FF6F2FF0000-0x00007FF6F33E1000-memory.dmp	upx
behavioral2/memory/3068-429-0x00007FF719700000-0x00007FF719AF1000-memory.dmp	upx
behavioral2/memory/3476-432-0x00007FF69FDF0000-0x00007FF6A01E1000-memory.dmp	upx
behavioral2/memory/2728-426-0x00007FF6CF4E0000-0x00007FF6CF8D1000-memory.dmp	upx
behavioral2/memory/3848-419-0x00007FF6365B0000-0x00007FF6369A1000-memory.dmp	upx
behavioral2/memory/3524-410-0x00007FF6B1410000-0x00007FF6B1801000-memory.dmp	upx
behavioral2/memory/2332-408-0x00007FF678770000-0x00007FF678B61000-memory.dmp	upx
behavioral2/memory/4044-399-0x00007FF72B6E0000-0x00007FF72BAD1000-memory.dmp	upx
behavioral2/memory/3140-396-0x00007FF6FFC60000-0x00007FF700051000-memory.dmp	upx
behavioral2/memory/3800-385-0x00007FF7A4570000-0x00007FF7A4961000-memory.dmp	upx
behavioral2/memory/1108-383-0x00007FF722350000-0x00007FF722741000-memory.dmp	upx
behavioral2/files/0x0007000000023468-165.dat	upx
behavioral2/files/0x0007000000023467-163.dat	upx
behavioral2/files/0x0007000000023466-158.dat	upx
behavioral2/files/0x0007000000023465-153.dat	upx
behavioral2/files/0x0007000000023464-148.dat	upx
behavioral2/files/0x0007000000023463-143.dat	upx
behavioral2/files/0x0007000000023461-133.dat	upx
behavioral2/files/0x000700000002345f-120.dat	upx
behavioral2/files/0x000700000002345e-118.dat	upx
behavioral2/files/0x000700000002345d-113.dat	upx
behavioral2/files/0x000700000002345a-98.dat	upx
behavioral2/files/0x0007000000023458-86.dat	upx
behavioral2/files/0x0007000000023457-83.dat	upx
behavioral2/files/0x0007000000023456-75.dat	upx
behavioral2/files/0x0007000000023453-63.dat	upx
behavioral2/files/0x000700000002344d-31.dat	upx
behavioral2/memory/4100-30-0x00007FF723450000-0x00007FF723841000-memory.dmp	upx
behavioral2/memory/3288-29-0x00007FF644340000-0x00007FF644731000-memory.dmp	upx
behavioral2/memory/3216-12-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp	upx
behavioral2/memory/3216-1962-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp	upx
behavioral2/memory/1448-1963-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp	upx
behavioral2/memory/3288-1996-0x00007FF644340000-0x00007FF644731000-memory.dmp	upx
behavioral2/memory/4100-1997-0x00007FF723450000-0x00007FF723841000-memory.dmp	upx
behavioral2/memory/3216-2003-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp	upx
behavioral2/memory/1448-2005-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp	upx
behavioral2/memory/4488-2007-0x00007FF6CC070000-0x00007FF6CC461000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\DRzMOvq.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\csvpvKk.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\uCDJqXo.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\HTLIYOL.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\PbqNxcL.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\RuWxivu.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\HwEuZNM.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\LBshDma.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\hPfHUbn.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\vAaTzQw.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\TCffaBX.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\tSiHSwa.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\PnooCaP.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\OjNayLv.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\gxYjaEU.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\nnbVadC.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\CZSCvsd.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\xKKiwcs.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\ogINoyD.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\JGFtEVf.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\vUbSLIv.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\yqiwEMn.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\qZplrbZ.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\JVkernW.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\eZaxBVg.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\FMVtCBP.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\FjALdeX.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\RPqydWO.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\oQBMNoW.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\BhnEQUr.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\OpTmTeV.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\mbjicgi.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\zTRSrCE.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\PyfUHsd.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\oOJZtQU.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\UpjXMSa.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\QRHlhaz.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\dWGUoQc.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\zyVqBeW.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\uDqxKTt.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\vYVaGqD.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\jTQetVp.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\OwGZHsR.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\WHjaaoM.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\SQgZmAP.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\CdkAURL.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\rshraFk.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\slJTcWE.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\nVwuawa.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\RBrnsDm.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\qVdsQgi.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\zgseImU.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\rGDEryf.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\tOkIxCr.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\TZcrHue.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\koVVctD.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\mDLAVxj.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\pXDtZgO.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\ZFxTkSr.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\hMsxmpL.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\eFRxSIY.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\OfAjVox.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\PpyKWcf.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
File created	C:\Windows\System32\TeMnOeT.exe	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12728	dwm.exe
Token: SeChangeNotifyPrivilege	12728	dwm.exe
Token: 33	12728	dwm.exe
Token: SeIncBasePriorityPrivilege	12728	dwm.exe
Token: SeShutdownPrivilege	12728	dwm.exe
Token: SeCreatePagefilePrivilege	12728	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4672 wrote to memory of 3216	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	84
PID 4672 wrote to memory of 3216	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	84
PID 4672 wrote to memory of 4488	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	86
PID 4672 wrote to memory of 4488	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	86
PID 4672 wrote to memory of 1448	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	87
PID 4672 wrote to memory of 1448	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	87
PID 4672 wrote to memory of 3288	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	88
PID 4672 wrote to memory of 3288	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	88
PID 4672 wrote to memory of 4100	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	89
PID 4672 wrote to memory of 4100	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	89
PID 4672 wrote to memory of 1108	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	90
PID 4672 wrote to memory of 1108	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	90
PID 4672 wrote to memory of 4332	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	91
PID 4672 wrote to memory of 4332	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	91
PID 4672 wrote to memory of 3800	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	92
PID 4672 wrote to memory of 3800	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	92
PID 4672 wrote to memory of 1156	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	93
PID 4672 wrote to memory of 1156	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	93
PID 4672 wrote to memory of 4244	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	94
PID 4672 wrote to memory of 4244	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	94
PID 4672 wrote to memory of 1204	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	95
PID 4672 wrote to memory of 1204	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	95
PID 4672 wrote to memory of 5100	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	96
PID 4672 wrote to memory of 5100	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	96
PID 4672 wrote to memory of 32	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	97
PID 4672 wrote to memory of 32	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	97
PID 4672 wrote to memory of 2208	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	98
PID 4672 wrote to memory of 2208	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	98
PID 4672 wrote to memory of 4260	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	99
PID 4672 wrote to memory of 4260	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	99
PID 4672 wrote to memory of 1680	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	100
PID 4672 wrote to memory of 1680	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	100
PID 4672 wrote to memory of 3140	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	101
PID 4672 wrote to memory of 3140	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	101
PID 4672 wrote to memory of 4044	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	102
PID 4672 wrote to memory of 4044	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	102
PID 4672 wrote to memory of 2332	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	103
PID 4672 wrote to memory of 2332	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	103
PID 4672 wrote to memory of 3524	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	104
PID 4672 wrote to memory of 3524	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	104
PID 4672 wrote to memory of 3848	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	105
PID 4672 wrote to memory of 3848	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	105
PID 4672 wrote to memory of 2728	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	106
PID 4672 wrote to memory of 2728	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	106
PID 4672 wrote to memory of 3068	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	107
PID 4672 wrote to memory of 3068	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	107
PID 4672 wrote to memory of 3476	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	108
PID 4672 wrote to memory of 3476	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	108
PID 4672 wrote to memory of 4860	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	109
PID 4672 wrote to memory of 4860	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	109
PID 4672 wrote to memory of 4992	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	110
PID 4672 wrote to memory of 4992	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	110
PID 4672 wrote to memory of 3196	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	111
PID 4672 wrote to memory of 3196	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	111
PID 4672 wrote to memory of 1168	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	112
PID 4672 wrote to memory of 1168	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	112
PID 4672 wrote to memory of 4360	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	113
PID 4672 wrote to memory of 4360	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	113
PID 4672 wrote to memory of 3136	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	114
PID 4672 wrote to memory of 3136	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	114
PID 4672 wrote to memory of 2984	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	115
PID 4672 wrote to memory of 2984	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	115
PID 4672 wrote to memory of 2236	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	116
PID 4672 wrote to memory of 2236	4672	23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe	116

C:\Users\Admin\AppData\Local\Temp\23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe
"C:\Users\Admin\AppData\Local\Temp\23bcfd05bcc605f4ea5033bd6436e59997f7c711e10dcbcc708fc6aeb240e217.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4672
- C:\Windows\System32\MoGQVkV.exe
  C:\Windows\System32\MoGQVkV.exe
  2⤵
  - Executes dropped EXE
  PID:3216
- C:\Windows\System32\TZcrHue.exe
  C:\Windows\System32\TZcrHue.exe
  2⤵
  - Executes dropped EXE
  PID:4488
- C:\Windows\System32\cpdXynm.exe
  C:\Windows\System32\cpdXynm.exe
  2⤵
  - Executes dropped EXE
  PID:1448
- C:\Windows\System32\QEYwQzh.exe
  C:\Windows\System32\QEYwQzh.exe
  2⤵
  - Executes dropped EXE
  PID:3288
- C:\Windows\System32\lquUuQk.exe
  C:\Windows\System32\lquUuQk.exe
  2⤵
  - Executes dropped EXE
  PID:4100
- C:\Windows\System32\zroQIhU.exe
  C:\Windows\System32\zroQIhU.exe
  2⤵
  - Executes dropped EXE
  PID:1108
- C:\Windows\System32\BDfnouW.exe
  C:\Windows\System32\BDfnouW.exe
  2⤵
  - Executes dropped EXE
  PID:4332
- C:\Windows\System32\kjDMIZU.exe
  C:\Windows\System32\kjDMIZU.exe
  2⤵
  - Executes dropped EXE
  PID:3800
- C:\Windows\System32\tcexqwU.exe
  C:\Windows\System32\tcexqwU.exe
  2⤵
  - Executes dropped EXE
  PID:1156
- C:\Windows\System32\HQQylbM.exe
  C:\Windows\System32\HQQylbM.exe
  2⤵
  - Executes dropped EXE
  PID:4244
- C:\Windows\System32\weRvhTo.exe
  C:\Windows\System32\weRvhTo.exe
  2⤵
  - Executes dropped EXE
  PID:1204
- C:\Windows\System32\EJvLJUQ.exe
  C:\Windows\System32\EJvLJUQ.exe
  2⤵
  - Executes dropped EXE
  PID:5100
- C:\Windows\System32\ADxkjhT.exe
  C:\Windows\System32\ADxkjhT.exe
  2⤵
  - Executes dropped EXE
  PID:32
- C:\Windows\System32\DwnlItT.exe
  C:\Windows\System32\DwnlItT.exe
  2⤵
  - Executes dropped EXE
  PID:2208
- C:\Windows\System32\AEBFlmr.exe
  C:\Windows\System32\AEBFlmr.exe
  2⤵
  - Executes dropped EXE
  PID:4260
- C:\Windows\System32\fTcxyKu.exe
  C:\Windows\System32\fTcxyKu.exe
  2⤵
  - Executes dropped EXE
  PID:1680
- C:\Windows\System32\pVfeVli.exe
  C:\Windows\System32\pVfeVli.exe
  2⤵
  - Executes dropped EXE
  PID:3140
- C:\Windows\System32\mEhhDZg.exe
  C:\Windows\System32\mEhhDZg.exe
  2⤵
  - Executes dropped EXE
  PID:4044
- C:\Windows\System32\kjlVepe.exe
  C:\Windows\System32\kjlVepe.exe
  2⤵
  - Executes dropped EXE
  PID:2332
- C:\Windows\System32\degeMQt.exe
  C:\Windows\System32\degeMQt.exe
  2⤵
  - Executes dropped EXE
  PID:3524
- C:\Windows\System32\eFtOLkw.exe
  C:\Windows\System32\eFtOLkw.exe
  2⤵
  - Executes dropped EXE
  PID:3848
- C:\Windows\System32\jrHOvvt.exe
  C:\Windows\System32\jrHOvvt.exe
  2⤵
  - Executes dropped EXE
  PID:2728
- C:\Windows\System32\fkdUmDO.exe
  C:\Windows\System32\fkdUmDO.exe
  2⤵
  - Executes dropped EXE
  PID:3068
- C:\Windows\System32\rKmLjOu.exe
  C:\Windows\System32\rKmLjOu.exe
  2⤵
  - Executes dropped EXE
  PID:3476
- C:\Windows\System32\rshraFk.exe
  C:\Windows\System32\rshraFk.exe
  2⤵
  - Executes dropped EXE
  PID:4860
- C:\Windows\System32\aDVAYRR.exe
  C:\Windows\System32\aDVAYRR.exe
  2⤵
  - Executes dropped EXE
  PID:4992
- C:\Windows\System32\mFTvjSj.exe
  C:\Windows\System32\mFTvjSj.exe
  2⤵
  - Executes dropped EXE
  PID:3196
- C:\Windows\System32\iEUdCMu.exe
  C:\Windows\System32\iEUdCMu.exe
  2⤵
  - Executes dropped EXE
  PID:1168
- C:\Windows\System32\Wbkwtil.exe
  C:\Windows\System32\Wbkwtil.exe
  2⤵
  - Executes dropped EXE
  PID:4360
- C:\Windows\System32\ScghlQw.exe
  C:\Windows\System32\ScghlQw.exe
  2⤵
  - Executes dropped EXE
  PID:3136
- C:\Windows\System32\VgatjkM.exe
  C:\Windows\System32\VgatjkM.exe
  2⤵
  - Executes dropped EXE
  PID:2984
- C:\Windows\System32\TbNCLNM.exe
  C:\Windows\System32\TbNCLNM.exe
  2⤵
  - Executes dropped EXE
  PID:2236
- C:\Windows\System32\UgMjGlZ.exe
  C:\Windows\System32\UgMjGlZ.exe
  2⤵
  - Executes dropped EXE
  PID:3260
- C:\Windows\System32\Tmcboby.exe
  C:\Windows\System32\Tmcboby.exe
  2⤵
  - Executes dropped EXE
  PID:2664
- C:\Windows\System32\pUGCjZP.exe
  C:\Windows\System32\pUGCjZP.exe
  2⤵
  - Executes dropped EXE
  PID:3760
- C:\Windows\System32\lhWNtaq.exe
  C:\Windows\System32\lhWNtaq.exe
  2⤵
  - Executes dropped EXE
  PID:2132
- C:\Windows\System32\JAYSNKh.exe
  C:\Windows\System32\JAYSNKh.exe
  2⤵
  - Executes dropped EXE
  PID:220
- C:\Windows\System32\FAEweKH.exe
  C:\Windows\System32\FAEweKH.exe
  2⤵
  - Executes dropped EXE
  PID:944
- C:\Windows\System32\ceKFUro.exe
  C:\Windows\System32\ceKFUro.exe
  2⤵
  - Executes dropped EXE
  PID:2388
- C:\Windows\System32\HSWUjwL.exe
  C:\Windows\System32\HSWUjwL.exe
  2⤵
  - Executes dropped EXE
  PID:932
- C:\Windows\System32\lIKdIQN.exe
  C:\Windows\System32\lIKdIQN.exe
  2⤵
  - Executes dropped EXE
  PID:1612
- C:\Windows\System32\XZuclBJ.exe
  C:\Windows\System32\XZuclBJ.exe
  2⤵
  - Executes dropped EXE
  PID:1364
- C:\Windows\System32\SFKSjac.exe
  C:\Windows\System32\SFKSjac.exe
  2⤵
  - Executes dropped EXE
  PID:3720
- C:\Windows\System32\VSbcJCx.exe
  C:\Windows\System32\VSbcJCx.exe
  2⤵
  - Executes dropped EXE
  PID:2056
- C:\Windows\System32\ePmVdnj.exe
  C:\Windows\System32\ePmVdnj.exe
  2⤵
  - Executes dropped EXE
  PID:1028
- C:\Windows\System32\qQmxAxZ.exe
  C:\Windows\System32\qQmxAxZ.exe
  2⤵
  - Executes dropped EXE
  PID:4772
- C:\Windows\System32\mJPSodl.exe
  C:\Windows\System32\mJPSodl.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\LIMDQXC.exe
  C:\Windows\System32\LIMDQXC.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\uFbychh.exe
  C:\Windows\System32\uFbychh.exe
  2⤵
  - Executes dropped EXE
  PID:4156
- C:\Windows\System32\QgoSSId.exe
  C:\Windows\System32\QgoSSId.exe
  2⤵
  - Executes dropped EXE
  PID:3852
- C:\Windows\System32\AiaOxNJ.exe
  C:\Windows\System32\AiaOxNJ.exe
  2⤵
  - Executes dropped EXE
  PID:2120
- C:\Windows\System32\pYEpPWr.exe
  C:\Windows\System32\pYEpPWr.exe
  2⤵
  - Executes dropped EXE
  PID:5076
- C:\Windows\System32\uCDJqXo.exe
  C:\Windows\System32\uCDJqXo.exe
  2⤵
  - Executes dropped EXE
  PID:4460
- C:\Windows\System32\qbMaqTo.exe
  C:\Windows\System32\qbMaqTo.exe
  2⤵
  - Executes dropped EXE
  PID:916
- C:\Windows\System32\XnMfqcq.exe
  C:\Windows\System32\XnMfqcq.exe
  2⤵
  - Executes dropped EXE
  PID:2060
- C:\Windows\System32\MUYNfUv.exe
  C:\Windows\System32\MUYNfUv.exe
  2⤵
  - Executes dropped EXE
  PID:3252
- C:\Windows\System32\NaCzaPO.exe
  C:\Windows\System32\NaCzaPO.exe
  2⤵
  - Executes dropped EXE
  PID:1256
- C:\Windows\System32\dtLOKbV.exe
  C:\Windows\System32\dtLOKbV.exe
  2⤵
  - Executes dropped EXE
  PID:4668
- C:\Windows\System32\JazeUmt.exe
  C:\Windows\System32\JazeUmt.exe
  2⤵
  - Executes dropped EXE
  PID:2044
- C:\Windows\System32\VDWtNNG.exe
  C:\Windows\System32\VDWtNNG.exe
  2⤵
  - Executes dropped EXE
  PID:956
- C:\Windows\System32\hqpjVyK.exe
  C:\Windows\System32\hqpjVyK.exe
  2⤵
  - Executes dropped EXE
  PID:2784
- C:\Windows\System32\CUuzQzo.exe
  C:\Windows\System32\CUuzQzo.exe
  2⤵
  - Executes dropped EXE
  PID:5108
- C:\Windows\System32\ApFrPOC.exe
  C:\Windows\System32\ApFrPOC.exe
  2⤵
  - Executes dropped EXE
  PID:1684
- C:\Windows\System32\CWmJtcO.exe
  C:\Windows\System32\CWmJtcO.exe
  2⤵
  - Executes dropped EXE
  PID:1220
- C:\Windows\System32\AxaEgFI.exe
  C:\Windows\System32\AxaEgFI.exe
  2⤵
  PID:4948
- C:\Windows\System32\cekMPJC.exe
  C:\Windows\System32\cekMPJC.exe
  2⤵
  PID:1964
- C:\Windows\System32\PNuVgLl.exe
  C:\Windows\System32\PNuVgLl.exe
  2⤵
  PID:692
- C:\Windows\System32\ObnwtnT.exe
  C:\Windows\System32\ObnwtnT.exe
  2⤵
  PID:2340
- C:\Windows\System32\ugQoxdJ.exe
  C:\Windows\System32\ugQoxdJ.exe
  2⤵
  PID:1536
- C:\Windows\System32\yVUOgCK.exe
  C:\Windows\System32\yVUOgCK.exe
  2⤵
  PID:736
- C:\Windows\System32\LdsJsul.exe
  C:\Windows\System32\LdsJsul.exe
  2⤵
  PID:3976
- C:\Windows\System32\IiPHsOJ.exe
  C:\Windows\System32\IiPHsOJ.exe
  2⤵
  PID:2580
- C:\Windows\System32\eFRxSIY.exe
  C:\Windows\System32\eFRxSIY.exe
  2⤵
  PID:4736
- C:\Windows\System32\JZpUqpv.exe
  C:\Windows\System32\JZpUqpv.exe
  2⤵
  PID:2448
- C:\Windows\System32\aKZVKhU.exe
  C:\Windows\System32\aKZVKhU.exe
  2⤵
  PID:4960
- C:\Windows\System32\UfyiBXM.exe
  C:\Windows\System32\UfyiBXM.exe
  2⤵
  PID:4904
- C:\Windows\System32\XmcwMnn.exe
  C:\Windows\System32\XmcwMnn.exe
  2⤵
  PID:396
- C:\Windows\System32\eGEBEhw.exe
  C:\Windows\System32\eGEBEhw.exe
  2⤵
  PID:3300
- C:\Windows\System32\KMDcZEh.exe
  C:\Windows\System32\KMDcZEh.exe
  2⤵
  PID:4324
- C:\Windows\System32\wEVrczi.exe
  C:\Windows\System32\wEVrczi.exe
  2⤵
  PID:1704
- C:\Windows\System32\xHkGNVN.exe
  C:\Windows\System32\xHkGNVN.exe
  2⤵
  PID:2884
- C:\Windows\System32\QMFTdTx.exe
  C:\Windows\System32\QMFTdTx.exe
  2⤵
  PID:3184
- C:\Windows\System32\ippOEZn.exe
  C:\Windows\System32\ippOEZn.exe
  2⤵
  PID:3324
- C:\Windows\System32\qEMYhVy.exe
  C:\Windows\System32\qEMYhVy.exe
  2⤵
  PID:3208
- C:\Windows\System32\cKmbyCE.exe
  C:\Windows\System32\cKmbyCE.exe
  2⤵
  PID:3320
- C:\Windows\System32\TyPrYwI.exe
  C:\Windows\System32\TyPrYwI.exe
  2⤵
  PID:332
- C:\Windows\System32\YgLmoke.exe
  C:\Windows\System32\YgLmoke.exe
  2⤵
  PID:1932
- C:\Windows\System32\FJfoZSR.exe
  C:\Windows\System32\FJfoZSR.exe
  2⤵
  PID:3172
- C:\Windows\System32\aDlPcuW.exe
  C:\Windows\System32\aDlPcuW.exe
  2⤵
  PID:3640
- C:\Windows\System32\zITYgmD.exe
  C:\Windows\System32\zITYgmD.exe
  2⤵
  PID:844
- C:\Windows\System32\qmggbkF.exe
  C:\Windows\System32\qmggbkF.exe
  2⤵
  PID:3628
- C:\Windows\System32\JwkIlAs.exe
  C:\Windows\System32\JwkIlAs.exe
  2⤵
  PID:940
- C:\Windows\System32\eWcVsKO.exe
  C:\Windows\System32\eWcVsKO.exe
  2⤵
  PID:4652
- C:\Windows\System32\sbmKLtj.exe
  C:\Windows\System32\sbmKLtj.exe
  2⤵
  PID:4536
- C:\Windows\System32\PmsYEmT.exe
  C:\Windows\System32\PmsYEmT.exe
  2⤵
  PID:3108
- C:\Windows\System32\NmxwaYU.exe
  C:\Windows\System32\NmxwaYU.exe
  2⤵
  PID:5084
- C:\Windows\System32\MtPgmnH.exe
  C:\Windows\System32\MtPgmnH.exe
  2⤵
  PID:3240
- C:\Windows\System32\pcbpGBO.exe
  C:\Windows\System32\pcbpGBO.exe
  2⤵
  PID:4480
- C:\Windows\System32\RuWxivu.exe
  C:\Windows\System32\RuWxivu.exe
  2⤵
  PID:4316
- C:\Windows\System32\vUbSLIv.exe
  C:\Windows\System32\vUbSLIv.exe
  2⤵
  PID:5104
- C:\Windows\System32\xKKiwcs.exe
  C:\Windows\System32\xKKiwcs.exe
  2⤵
  PID:3972
- C:\Windows\System32\wauDKlU.exe
  C:\Windows\System32\wauDKlU.exe
  2⤵
  PID:4892
- C:\Windows\System32\QbwKPbQ.exe
  C:\Windows\System32\QbwKPbQ.exe
  2⤵
  PID:1100
- C:\Windows\System32\oPKxBUV.exe
  C:\Windows\System32\oPKxBUV.exe
  2⤵
  PID:4752
- C:\Windows\System32\QQNcSMf.exe
  C:\Windows\System32\QQNcSMf.exe
  2⤵
  PID:2656
- C:\Windows\System32\kNkxerT.exe
  C:\Windows\System32\kNkxerT.exe
  2⤵
  PID:2848
- C:\Windows\System32\CdmIkhS.exe
  C:\Windows\System32\CdmIkhS.exe
  2⤵
  PID:5232
- C:\Windows\System32\TbmiMdW.exe
  C:\Windows\System32\TbmiMdW.exe
  2⤵
  PID:5256
- C:\Windows\System32\FwtrYkg.exe
  C:\Windows\System32\FwtrYkg.exe
  2⤵
  PID:5276
- C:\Windows\System32\DQbpGps.exe
  C:\Windows\System32\DQbpGps.exe
  2⤵
  PID:5292
- C:\Windows\System32\LqXrsAq.exe
  C:\Windows\System32\LqXrsAq.exe
  2⤵
  PID:5356
- C:\Windows\System32\XLGkCaE.exe
  C:\Windows\System32\XLGkCaE.exe
  2⤵
  PID:5376
- C:\Windows\System32\vAxqNfU.exe
  C:\Windows\System32\vAxqNfU.exe
  2⤵
  PID:5400
- C:\Windows\System32\zagDWgb.exe
  C:\Windows\System32\zagDWgb.exe
  2⤵
  PID:5424
- C:\Windows\System32\PGZiFYf.exe
  C:\Windows\System32\PGZiFYf.exe
  2⤵
  PID:5440
- C:\Windows\System32\lSSTdpu.exe
  C:\Windows\System32\lSSTdpu.exe
  2⤵
  PID:5480
- C:\Windows\System32\zyVqBeW.exe
  C:\Windows\System32\zyVqBeW.exe
  2⤵
  PID:5508
- C:\Windows\System32\JzihwaB.exe
  C:\Windows\System32\JzihwaB.exe
  2⤵
  PID:5628
- C:\Windows\System32\JWuBAkL.exe
  C:\Windows\System32\JWuBAkL.exe
  2⤵
  PID:5644
- C:\Windows\System32\WpoEkOu.exe
  C:\Windows\System32\WpoEkOu.exe
  2⤵
  PID:5664
- C:\Windows\System32\qYWqbcd.exe
  C:\Windows\System32\qYWqbcd.exe
  2⤵
  PID:5704
- C:\Windows\System32\sOuHnpI.exe
  C:\Windows\System32\sOuHnpI.exe
  2⤵
  PID:5780
- C:\Windows\System32\IqaTXkd.exe
  C:\Windows\System32\IqaTXkd.exe
  2⤵
  PID:5796
- C:\Windows\System32\tSiHSwa.exe
  C:\Windows\System32\tSiHSwa.exe
  2⤵
  PID:5816
- C:\Windows\System32\qrsupBQ.exe
  C:\Windows\System32\qrsupBQ.exe
  2⤵
  PID:5840
- C:\Windows\System32\hqgLpEF.exe
  C:\Windows\System32\hqgLpEF.exe
  2⤵
  PID:5860
- C:\Windows\System32\mzNHFxb.exe
  C:\Windows\System32\mzNHFxb.exe
  2⤵
  PID:5904
- C:\Windows\System32\uQbsXwV.exe
  C:\Windows\System32\uQbsXwV.exe
  2⤵
  PID:5932
- C:\Windows\System32\ESbiUhC.exe
  C:\Windows\System32\ESbiUhC.exe
  2⤵
  PID:5960
- C:\Windows\System32\iqqcXGW.exe
  C:\Windows\System32\iqqcXGW.exe
  2⤵
  PID:5976
- C:\Windows\System32\vZKvJcw.exe
  C:\Windows\System32\vZKvJcw.exe
  2⤵
  PID:6004
- C:\Windows\System32\jmCfwuz.exe
  C:\Windows\System32\jmCfwuz.exe
  2⤵
  PID:6028
- C:\Windows\System32\IFcwbXG.exe
  C:\Windows\System32\IFcwbXG.exe
  2⤵
  PID:6060
- C:\Windows\System32\dcjLNTS.exe
  C:\Windows\System32\dcjLNTS.exe
  2⤵
  PID:6084
- C:\Windows\System32\lopdaZy.exe
  C:\Windows\System32\lopdaZy.exe
  2⤵
  PID:6136
- C:\Windows\System32\qRKehNL.exe
  C:\Windows\System32\qRKehNL.exe
  2⤵
  PID:1520
- C:\Windows\System32\LstaQIr.exe
  C:\Windows\System32\LstaQIr.exe
  2⤵
  PID:2068
- C:\Windows\System32\JoMVkAf.exe
  C:\Windows\System32\JoMVkAf.exe
  2⤵
  PID:4664
- C:\Windows\System32\lBPXKNc.exe
  C:\Windows\System32\lBPXKNc.exe
  2⤵
  PID:4644
- C:\Windows\System32\ceJkfxH.exe
  C:\Windows\System32\ceJkfxH.exe
  2⤵
  PID:4404
- C:\Windows\System32\slJTcWE.exe
  C:\Windows\System32\slJTcWE.exe
  2⤵
  PID:1816
- C:\Windows\System32\tEmYOEB.exe
  C:\Windows\System32\tEmYOEB.exe
  2⤵
  PID:636
- C:\Windows\System32\ryFaGBR.exe
  C:\Windows\System32\ryFaGBR.exe
  2⤵
  PID:3652
- C:\Windows\System32\PnooCaP.exe
  C:\Windows\System32\PnooCaP.exe
  2⤵
  PID:5308
- C:\Windows\System32\emMPqKw.exe
  C:\Windows\System32\emMPqKw.exe
  2⤵
  PID:5396
- C:\Windows\System32\AYUCehn.exe
  C:\Windows\System32\AYUCehn.exe
  2⤵
  PID:5452
- C:\Windows\System32\WzzMdvW.exe
  C:\Windows\System32\WzzMdvW.exe
  2⤵
  PID:5532
- C:\Windows\System32\CbCIvCg.exe
  C:\Windows\System32\CbCIvCg.exe
  2⤵
  PID:5640
- C:\Windows\System32\bRiUqJO.exe
  C:\Windows\System32\bRiUqJO.exe
  2⤵
  PID:5672
- C:\Windows\System32\WfnDusQ.exe
  C:\Windows\System32\WfnDusQ.exe
  2⤵
  PID:5788
- C:\Windows\System32\LBRzkgR.exe
  C:\Windows\System32\LBRzkgR.exe
  2⤵
  PID:5832
- C:\Windows\System32\kjOlnfk.exe
  C:\Windows\System32\kjOlnfk.exe
  2⤵
  PID:5916
- C:\Windows\System32\FcqSAXG.exe
  C:\Windows\System32\FcqSAXG.exe
  2⤵
  PID:6048
- C:\Windows\System32\BpslZZJ.exe
  C:\Windows\System32\BpslZZJ.exe
  2⤵
  PID:3620
- C:\Windows\System32\PZcZOvD.exe
  C:\Windows\System32\PZcZOvD.exe
  2⤵
  PID:3844
- C:\Windows\System32\DyNuNDs.exe
  C:\Windows\System32\DyNuNDs.exe
  2⤵
  PID:5216
- C:\Windows\System32\UdyLGMc.exe
  C:\Windows\System32\UdyLGMc.exe
  2⤵
  PID:5612
- C:\Windows\System32\ZswFTIN.exe
  C:\Windows\System32\ZswFTIN.exe
  2⤵
  PID:5768
- C:\Windows\System32\pQeliyc.exe
  C:\Windows\System32\pQeliyc.exe
  2⤵
  PID:4184
- C:\Windows\System32\gYkHIYd.exe
  C:\Windows\System32\gYkHIYd.exe
  2⤵
  PID:1716
- C:\Windows\System32\PkmzXNk.exe
  C:\Windows\System32\PkmzXNk.exe
  2⤵
  PID:5436
- C:\Windows\System32\sWFUcAX.exe
  C:\Windows\System32\sWFUcAX.exe
  2⤵
  PID:5600
- C:\Windows\System32\KzZthve.exe
  C:\Windows\System32\KzZthve.exe
  2⤵
  PID:5712
- C:\Windows\System32\MoQGiMz.exe
  C:\Windows\System32\MoQGiMz.exe
  2⤵
  PID:5888
- C:\Windows\System32\TeMnOeT.exe
  C:\Windows\System32\TeMnOeT.exe
  2⤵
  PID:5064
- C:\Windows\System32\iCwocPA.exe
  C:\Windows\System32\iCwocPA.exe
  2⤵
  PID:4588
- C:\Windows\System32\koVVctD.exe
  C:\Windows\System32\koVVctD.exe
  2⤵
  PID:5328
- C:\Windows\System32\CroOnZc.exe
  C:\Windows\System32\CroOnZc.exe
  2⤵
  PID:5588
- C:\Windows\System32\OpVEnUP.exe
  C:\Windows\System32\OpVEnUP.exe
  2⤵
  PID:5240
- C:\Windows\System32\DDxbjXh.exe
  C:\Windows\System32\DDxbjXh.exe
  2⤵
  PID:3424
- C:\Windows\System32\QbGGMdM.exe
  C:\Windows\System32\QbGGMdM.exe
  2⤵
  PID:5408
- C:\Windows\System32\lduHJbi.exe
  C:\Windows\System32\lduHJbi.exe
  2⤵
  PID:6188
- C:\Windows\System32\bRmgmNl.exe
  C:\Windows\System32\bRmgmNl.exe
  2⤵
  PID:6204
- C:\Windows\System32\EdhaKbO.exe
  C:\Windows\System32\EdhaKbO.exe
  2⤵
  PID:6228
- C:\Windows\System32\koUmGCO.exe
  C:\Windows\System32\koUmGCO.exe
  2⤵
  PID:6280
- C:\Windows\System32\oyjCLlr.exe
  C:\Windows\System32\oyjCLlr.exe
  2⤵
  PID:6296
- C:\Windows\System32\vbhdLJp.exe
  C:\Windows\System32\vbhdLJp.exe
  2⤵
  PID:6316
- C:\Windows\System32\kbuEypZ.exe
  C:\Windows\System32\kbuEypZ.exe
  2⤵
  PID:6352
- C:\Windows\System32\MVjagAe.exe
  C:\Windows\System32\MVjagAe.exe
  2⤵
  PID:6372
- C:\Windows\System32\BSuMkss.exe
  C:\Windows\System32\BSuMkss.exe
  2⤵
  PID:6408
- C:\Windows\System32\UpjXMSa.exe
  C:\Windows\System32\UpjXMSa.exe
  2⤵
  PID:6436
- C:\Windows\System32\ZsAifzt.exe
  C:\Windows\System32\ZsAifzt.exe
  2⤵
  PID:6452
- C:\Windows\System32\bmBJzfD.exe
  C:\Windows\System32\bmBJzfD.exe
  2⤵
  PID:6472
- C:\Windows\System32\idXLAJm.exe
  C:\Windows\System32\idXLAJm.exe
  2⤵
  PID:6496
- C:\Windows\System32\ebkfVQP.exe
  C:\Windows\System32\ebkfVQP.exe
  2⤵
  PID:6532
- C:\Windows\System32\OFlbPwR.exe
  C:\Windows\System32\OFlbPwR.exe
  2⤵
  PID:6560
- C:\Windows\System32\sVrYKjW.exe
  C:\Windows\System32\sVrYKjW.exe
  2⤵
  PID:6580
- C:\Windows\System32\FLXkhvL.exe
  C:\Windows\System32\FLXkhvL.exe
  2⤵
  PID:6624
- C:\Windows\System32\YQeWthf.exe
  C:\Windows\System32\YQeWthf.exe
  2⤵
  PID:6648
- C:\Windows\System32\nWjtwTE.exe
  C:\Windows\System32\nWjtwTE.exe
  2⤵
  PID:6664
- C:\Windows\System32\kuqqcHc.exe
  C:\Windows\System32\kuqqcHc.exe
  2⤵
  PID:6692
- C:\Windows\System32\UeMaJIp.exe
  C:\Windows\System32\UeMaJIp.exe
  2⤵
  PID:6720
- C:\Windows\System32\nVwuawa.exe
  C:\Windows\System32\nVwuawa.exe
  2⤵
  PID:6744
- C:\Windows\System32\KsnRuDg.exe
  C:\Windows\System32\KsnRuDg.exe
  2⤵
  PID:6764
- C:\Windows\System32\FcYZGTc.exe
  C:\Windows\System32\FcYZGTc.exe
  2⤵
  PID:6780
- C:\Windows\System32\MjhzFRO.exe
  C:\Windows\System32\MjhzFRO.exe
  2⤵
  PID:6856
- C:\Windows\System32\QRHlhaz.exe
  C:\Windows\System32\QRHlhaz.exe
  2⤵
  PID:6872
- C:\Windows\System32\rUUBfqd.exe
  C:\Windows\System32\rUUBfqd.exe
  2⤵
  PID:6892
- C:\Windows\System32\esnXNzq.exe
  C:\Windows\System32\esnXNzq.exe
  2⤵
  PID:6916
- C:\Windows\System32\RiAlNQa.exe
  C:\Windows\System32\RiAlNQa.exe
  2⤵
  PID:6948
- C:\Windows\System32\DTVynHE.exe
  C:\Windows\System32\DTVynHE.exe
  2⤵
  PID:6984
- C:\Windows\System32\TbSSBkM.exe
  C:\Windows\System32\TbSSBkM.exe
  2⤵
  PID:7008
- C:\Windows\System32\uDoeCJs.exe
  C:\Windows\System32\uDoeCJs.exe
  2⤵
  PID:7028
- C:\Windows\System32\kzZLqqE.exe
  C:\Windows\System32\kzZLqqE.exe
  2⤵
  PID:7052
- C:\Windows\System32\mzeGhCi.exe
  C:\Windows\System32\mzeGhCi.exe
  2⤵
  PID:7108
- C:\Windows\System32\gIwJRmY.exe
  C:\Windows\System32\gIwJRmY.exe
  2⤵
  PID:7124
- C:\Windows\System32\HwEuZNM.exe
  C:\Windows\System32\HwEuZNM.exe
  2⤵
  PID:7144
- C:\Windows\System32\vliBzGl.exe
  C:\Windows\System32\vliBzGl.exe
  2⤵
  PID:6180
- C:\Windows\System32\qDiHOhN.exe
  C:\Windows\System32\qDiHOhN.exe
  2⤵
  PID:6224
- C:\Windows\System32\iHOEMVB.exe
  C:\Windows\System32\iHOEMVB.exe
  2⤵
  PID:6256
- C:\Windows\System32\jTQetVp.exe
  C:\Windows\System32\jTQetVp.exe
  2⤵
  PID:6288
- C:\Windows\System32\eLANHKu.exe
  C:\Windows\System32\eLANHKu.exe
  2⤵
  PID:6428
- C:\Windows\System32\LsYxIxo.exe
  C:\Windows\System32\LsYxIxo.exe
  2⤵
  PID:6468
- C:\Windows\System32\iUPZqzk.exe
  C:\Windows\System32\iUPZqzk.exe
  2⤵
  PID:6504
- C:\Windows\System32\rwYGGzq.exe
  C:\Windows\System32\rwYGGzq.exe
  2⤵
  PID:6576
- C:\Windows\System32\UoAqNZU.exe
  C:\Windows\System32\UoAqNZU.exe
  2⤵
  PID:6568
- C:\Windows\System32\XZHiWTx.exe
  C:\Windows\System32\XZHiWTx.exe
  2⤵
  PID:6636
- C:\Windows\System32\tsMlZMU.exe
  C:\Windows\System32\tsMlZMU.exe
  2⤵
  PID:6716
- C:\Windows\System32\DsiuVPO.exe
  C:\Windows\System32\DsiuVPO.exe
  2⤵
  PID:6788
- C:\Windows\System32\UlySber.exe
  C:\Windows\System32\UlySber.exe
  2⤵
  PID:6864
- C:\Windows\System32\HTLIYOL.exe
  C:\Windows\System32\HTLIYOL.exe
  2⤵
  PID:6928
- C:\Windows\System32\pGAfZPu.exe
  C:\Windows\System32\pGAfZPu.exe
  2⤵
  PID:6924
- C:\Windows\System32\ugBlrSP.exe
  C:\Windows\System32\ugBlrSP.exe
  2⤵
  PID:7004
- C:\Windows\System32\EGGFGxL.exe
  C:\Windows\System32\EGGFGxL.exe
  2⤵
  PID:7120
- C:\Windows\System32\azpsBWs.exe
  C:\Windows\System32\azpsBWs.exe
  2⤵
  PID:6360
- C:\Windows\System32\BmtvhoJ.exe
  C:\Windows\System32\BmtvhoJ.exe
  2⤵
  PID:6328
- C:\Windows\System32\hjTBksa.exe
  C:\Windows\System32\hjTBksa.exe
  2⤵
  PID:6464
- C:\Windows\System32\BdOHbEB.exe
  C:\Windows\System32\BdOHbEB.exe
  2⤵
  PID:6840
- C:\Windows\System32\ehQrLSf.exe
  C:\Windows\System32\ehQrLSf.exe
  2⤵
  PID:7088
- C:\Windows\System32\MnHUDsy.exe
  C:\Windows\System32\MnHUDsy.exe
  2⤵
  PID:6240
- C:\Windows\System32\LvQvKLo.exe
  C:\Windows\System32\LvQvKLo.exe
  2⤵
  PID:7136
- C:\Windows\System32\LeBvhbP.exe
  C:\Windows\System32\LeBvhbP.exe
  2⤵
  PID:6796
- C:\Windows\System32\RXxztHW.exe
  C:\Windows\System32\RXxztHW.exe
  2⤵
  PID:6976
- C:\Windows\System32\EeIcoMA.exe
  C:\Windows\System32\EeIcoMA.exe
  2⤵
  PID:5168
- C:\Windows\System32\ogINoyD.exe
  C:\Windows\System32\ogINoyD.exe
  2⤵
  PID:7180
- C:\Windows\System32\OwGZHsR.exe
  C:\Windows\System32\OwGZHsR.exe
  2⤵
  PID:7200
- C:\Windows\System32\OFhuscz.exe
  C:\Windows\System32\OFhuscz.exe
  2⤵
  PID:7220
- C:\Windows\System32\oYXSQlG.exe
  C:\Windows\System32\oYXSQlG.exe
  2⤵
  PID:7236
- C:\Windows\System32\xnVjSoY.exe
  C:\Windows\System32\xnVjSoY.exe
  2⤵
  PID:7256
- C:\Windows\System32\voeDoqj.exe
  C:\Windows\System32\voeDoqj.exe
  2⤵
  PID:7272
- C:\Windows\System32\bUNOvlW.exe
  C:\Windows\System32\bUNOvlW.exe
  2⤵
  PID:7292
- C:\Windows\System32\ObHERkQ.exe
  C:\Windows\System32\ObHERkQ.exe
  2⤵
  PID:7328
- C:\Windows\System32\SvXuytZ.exe
  C:\Windows\System32\SvXuytZ.exe
  2⤵
  PID:7344
- C:\Windows\System32\FWavwxp.exe
  C:\Windows\System32\FWavwxp.exe
  2⤵
  PID:7432
- C:\Windows\System32\YvSFPKu.exe
  C:\Windows\System32\YvSFPKu.exe
  2⤵
  PID:7448
- C:\Windows\System32\ArXoMUE.exe
  C:\Windows\System32\ArXoMUE.exe
  2⤵
  PID:7492
- C:\Windows\System32\QDMPLee.exe
  C:\Windows\System32\QDMPLee.exe
  2⤵
  PID:7512
- C:\Windows\System32\DLRqwWK.exe
  C:\Windows\System32\DLRqwWK.exe
  2⤵
  PID:7544
- C:\Windows\System32\OjNayLv.exe
  C:\Windows\System32\OjNayLv.exe
  2⤵
  PID:7564
- C:\Windows\System32\RgKwzoy.exe
  C:\Windows\System32\RgKwzoy.exe
  2⤵
  PID:7584
- C:\Windows\System32\PbqNxcL.exe
  C:\Windows\System32\PbqNxcL.exe
  2⤵
  PID:7608
- C:\Windows\System32\YcxfeoU.exe
  C:\Windows\System32\YcxfeoU.exe
  2⤵
  PID:7644
- C:\Windows\System32\RPqydWO.exe
  C:\Windows\System32\RPqydWO.exe
  2⤵
  PID:7692
- C:\Windows\System32\aCXaQqC.exe
  C:\Windows\System32\aCXaQqC.exe
  2⤵
  PID:7708
- C:\Windows\System32\BmXOisD.exe
  C:\Windows\System32\BmXOisD.exe
  2⤵
  PID:7740
- C:\Windows\System32\wrzFnmZ.exe
  C:\Windows\System32\wrzFnmZ.exe
  2⤵
  PID:7784
- C:\Windows\System32\WCGFlfJ.exe
  C:\Windows\System32\WCGFlfJ.exe
  2⤵
  PID:7808
- C:\Windows\System32\Ainylpy.exe
  C:\Windows\System32\Ainylpy.exe
  2⤵
  PID:7844
- C:\Windows\System32\ZGlXqiE.exe
  C:\Windows\System32\ZGlXqiE.exe
  2⤵
  PID:7876
- C:\Windows\System32\JYaqzOQ.exe
  C:\Windows\System32\JYaqzOQ.exe
  2⤵
  PID:7892
- C:\Windows\System32\qskFqmK.exe
  C:\Windows\System32\qskFqmK.exe
  2⤵
  PID:7928
- C:\Windows\System32\JGFtEVf.exe
  C:\Windows\System32\JGFtEVf.exe
  2⤵
  PID:7952
- C:\Windows\System32\zxaoCtF.exe
  C:\Windows\System32\zxaoCtF.exe
  2⤵
  PID:7984
- C:\Windows\System32\SuoMYtl.exe
  C:\Windows\System32\SuoMYtl.exe
  2⤵
  PID:8000
- C:\Windows\System32\zgacsKs.exe
  C:\Windows\System32\zgacsKs.exe
  2⤵
  PID:8028
- C:\Windows\System32\CwzcqyV.exe
  C:\Windows\System32\CwzcqyV.exe
  2⤵
  PID:8060
- C:\Windows\System32\pULwCbO.exe
  C:\Windows\System32\pULwCbO.exe
  2⤵
  PID:8084
- C:\Windows\System32\TQeMPrh.exe
  C:\Windows\System32\TQeMPrh.exe
  2⤵
  PID:8100
- C:\Windows\System32\aphWcYQ.exe
  C:\Windows\System32\aphWcYQ.exe
  2⤵
  PID:8144
- C:\Windows\System32\qxbrJIB.exe
  C:\Windows\System32\qxbrJIB.exe
  2⤵
  PID:8168
- C:\Windows\System32\QAHcdwK.exe
  C:\Windows\System32\QAHcdwK.exe
  2⤵
  PID:6660
- C:\Windows\System32\hPfHUbn.exe
  C:\Windows\System32\hPfHUbn.exe
  2⤵
  PID:7264
- C:\Windows\System32\KIwFmvA.exe
  C:\Windows\System32\KIwFmvA.exe
  2⤵
  PID:7252
- C:\Windows\System32\RgCPJew.exe
  C:\Windows\System32\RgCPJew.exe
  2⤵
  PID:7340
- C:\Windows\System32\SDvQWxU.exe
  C:\Windows\System32\SDvQWxU.exe
  2⤵
  PID:7420
- C:\Windows\System32\eAOdEtu.exe
  C:\Windows\System32\eAOdEtu.exe
  2⤵
  PID:7508
- C:\Windows\System32\WixOHWq.exe
  C:\Windows\System32\WixOHWq.exe
  2⤵
  PID:7556
- C:\Windows\System32\gTodkeq.exe
  C:\Windows\System32\gTodkeq.exe
  2⤵
  PID:7604
- C:\Windows\System32\mncXqxr.exe
  C:\Windows\System32\mncXqxr.exe
  2⤵
  PID:7684
- C:\Windows\System32\vRdvbAI.exe
  C:\Windows\System32\vRdvbAI.exe
  2⤵
  PID:7652
- C:\Windows\System32\RcVYJGT.exe
  C:\Windows\System32\RcVYJGT.exe
  2⤵
  PID:7752
- C:\Windows\System32\bauiQtj.exe
  C:\Windows\System32\bauiQtj.exe
  2⤵
  PID:7768
- C:\Windows\System32\UWTLfMd.exe
  C:\Windows\System32\UWTLfMd.exe
  2⤵
  PID:7868
- C:\Windows\System32\NtkECzt.exe
  C:\Windows\System32\NtkECzt.exe
  2⤵
  PID:7940
- C:\Windows\System32\hsDqFaS.exe
  C:\Windows\System32\hsDqFaS.exe
  2⤵
  PID:8020
- C:\Windows\System32\hqoGsZd.exe
  C:\Windows\System32\hqoGsZd.exe
  2⤵
  PID:5196
- C:\Windows\System32\EJdWJFZ.exe
  C:\Windows\System32\EJdWJFZ.exe
  2⤵
  PID:8120
- C:\Windows\System32\DiuIQbR.exe
  C:\Windows\System32\DiuIQbR.exe
  2⤵
  PID:7232
- C:\Windows\System32\RkeEhie.exe
  C:\Windows\System32\RkeEhie.exe
  2⤵
  PID:7300
- C:\Windows\System32\UiQyqlz.exe
  C:\Windows\System32\UiQyqlz.exe
  2⤵
  PID:7388
- C:\Windows\System32\hrjZSRT.exe
  C:\Windows\System32\hrjZSRT.exe
  2⤵
  PID:5472
- C:\Windows\System32\VoZjGjC.exe
  C:\Windows\System32\VoZjGjC.exe
  2⤵
  PID:7992
- C:\Windows\System32\qgDrlyc.exe
  C:\Windows\System32\qgDrlyc.exe
  2⤵
  PID:8080
- C:\Windows\System32\mVqBFJL.exe
  C:\Windows\System32\mVqBFJL.exe
  2⤵
  PID:8188
- C:\Windows\System32\WHjaaoM.exe
  C:\Windows\System32\WHjaaoM.exe
  2⤵
  PID:7888
- C:\Windows\System32\wEYtmOu.exe
  C:\Windows\System32\wEYtmOu.exe
  2⤵
  PID:8204
- C:\Windows\System32\yqiwEMn.exe
  C:\Windows\System32\yqiwEMn.exe
  2⤵
  PID:8220
- C:\Windows\System32\aLaytyr.exe
  C:\Windows\System32\aLaytyr.exe
  2⤵
  PID:8240
- C:\Windows\System32\hlJTXhb.exe
  C:\Windows\System32\hlJTXhb.exe
  2⤵
  PID:8264
- C:\Windows\System32\PMDCnIz.exe
  C:\Windows\System32\PMDCnIz.exe
  2⤵
  PID:8284
- C:\Windows\System32\OfAjVox.exe
  C:\Windows\System32\OfAjVox.exe
  2⤵
  PID:8304
- C:\Windows\System32\wrugwKl.exe
  C:\Windows\System32\wrugwKl.exe
  2⤵
  PID:8324
- C:\Windows\System32\lLDKfUx.exe
  C:\Windows\System32\lLDKfUx.exe
  2⤵
  PID:8344
- C:\Windows\System32\cxENhDM.exe
  C:\Windows\System32\cxENhDM.exe
  2⤵
  PID:8416
- C:\Windows\System32\KqZFshU.exe
  C:\Windows\System32\KqZFshU.exe
  2⤵
  PID:8432
- C:\Windows\System32\uGnxrjP.exe
  C:\Windows\System32\uGnxrjP.exe
  2⤵
  PID:8500
- C:\Windows\System32\pkVSsvl.exe
  C:\Windows\System32\pkVSsvl.exe
  2⤵
  PID:8524
- C:\Windows\System32\kYrIWep.exe
  C:\Windows\System32\kYrIWep.exe
  2⤵
  PID:8552
- C:\Windows\System32\hFFmRUn.exe
  C:\Windows\System32\hFFmRUn.exe
  2⤵
  PID:8600
- C:\Windows\System32\rCTBCAS.exe
  C:\Windows\System32\rCTBCAS.exe
  2⤵
  PID:8652
- C:\Windows\System32\gxYjaEU.exe
  C:\Windows\System32\gxYjaEU.exe
  2⤵
  PID:8684
- C:\Windows\System32\PxhKrDD.exe
  C:\Windows\System32\PxhKrDD.exe
  2⤵
  PID:8704
- C:\Windows\System32\SZwUseK.exe
  C:\Windows\System32\SZwUseK.exe
  2⤵
  PID:8740
- C:\Windows\System32\RCdImGU.exe
  C:\Windows\System32\RCdImGU.exe
  2⤵
  PID:8760
- C:\Windows\System32\iUdPXSV.exe
  C:\Windows\System32\iUdPXSV.exe
  2⤵
  PID:8804
- C:\Windows\System32\favAYdT.exe
  C:\Windows\System32\favAYdT.exe
  2⤵
  PID:8832
- C:\Windows\System32\LFFBNNF.exe
  C:\Windows\System32\LFFBNNF.exe
  2⤵
  PID:8856
- C:\Windows\System32\IULgqTi.exe
  C:\Windows\System32\IULgqTi.exe
  2⤵
  PID:8880
- C:\Windows\System32\echdMUk.exe
  C:\Windows\System32\echdMUk.exe
  2⤵
  PID:8896
- C:\Windows\System32\lfYHhdF.exe
  C:\Windows\System32\lfYHhdF.exe
  2⤵
  PID:8920
- C:\Windows\System32\YrRpuhG.exe
  C:\Windows\System32\YrRpuhG.exe
  2⤵
  PID:8940
- C:\Windows\System32\kEJXoZI.exe
  C:\Windows\System32\kEJXoZI.exe
  2⤵
  PID:8968
- C:\Windows\System32\enodWGN.exe
  C:\Windows\System32\enodWGN.exe
  2⤵
  PID:8992
- C:\Windows\System32\FfbyOaY.exe
  C:\Windows\System32\FfbyOaY.exe
  2⤵
  PID:9012
- C:\Windows\System32\meUFjDx.exe
  C:\Windows\System32\meUFjDx.exe
  2⤵
  PID:9036
- C:\Windows\System32\bgLIuHr.exe
  C:\Windows\System32\bgLIuHr.exe
  2⤵
  PID:9060
- C:\Windows\System32\cABqpZm.exe
  C:\Windows\System32\cABqpZm.exe
  2⤵
  PID:9144
- C:\Windows\System32\RuakcDp.exe
  C:\Windows\System32\RuakcDp.exe
  2⤵
  PID:9172
- C:\Windows\System32\DRzMOvq.exe
  C:\Windows\System32\DRzMOvq.exe
  2⤵
  PID:9200
- C:\Windows\System32\PpyKWcf.exe
  C:\Windows\System32\PpyKWcf.exe
  2⤵
  PID:8052
- C:\Windows\System32\FwZSdmM.exe
  C:\Windows\System32\FwZSdmM.exe
  2⤵
  PID:7968
- C:\Windows\System32\KrrUemf.exe
  C:\Windows\System32\KrrUemf.exe
  2⤵
  PID:8196
- C:\Windows\System32\HpaKwuz.exe
  C:\Windows\System32\HpaKwuz.exe
  2⤵
  PID:5204
- C:\Windows\System32\Ajmlggd.exe
  C:\Windows\System32\Ajmlggd.exe
  2⤵
  PID:8116
- C:\Windows\System32\UZLsTia.exe
  C:\Windows\System32\UZLsTia.exe
  2⤵
  PID:8276
- C:\Windows\System32\ZgiRsqG.exe
  C:\Windows\System32\ZgiRsqG.exe
  2⤵
  PID:8260
- C:\Windows\System32\pXDtZgO.exe
  C:\Windows\System32\pXDtZgO.exe
  2⤵
  PID:8312
- C:\Windows\System32\ulBeJsI.exe
  C:\Windows\System32\ulBeJsI.exe
  2⤵
  PID:8424
- C:\Windows\System32\XyJKupR.exe
  C:\Windows\System32\XyJKupR.exe
  2⤵
  PID:8476
- C:\Windows\System32\dehMvEN.exe
  C:\Windows\System32\dehMvEN.exe
  2⤵
  PID:8532
- C:\Windows\System32\VnlQNJh.exe
  C:\Windows\System32\VnlQNJh.exe
  2⤵
  PID:8508
- C:\Windows\System32\zrqzbbj.exe
  C:\Windows\System32\zrqzbbj.exe
  2⤵
  PID:8676
- C:\Windows\System32\MQNmvOZ.exe
  C:\Windows\System32\MQNmvOZ.exe
  2⤵
  PID:8732
- C:\Windows\System32\nwoRUgR.exe
  C:\Windows\System32\nwoRUgR.exe
  2⤵
  PID:8824
- C:\Windows\System32\SQgZmAP.exe
  C:\Windows\System32\SQgZmAP.exe
  2⤵
  PID:8868
- C:\Windows\System32\WYvrHHH.exe
  C:\Windows\System32\WYvrHHH.exe
  2⤵
  PID:8976
- C:\Windows\System32\qPTRJaJ.exe
  C:\Windows\System32\qPTRJaJ.exe
  2⤵
  PID:8952
- C:\Windows\System32\qiykHXR.exe
  C:\Windows\System32\qiykHXR.exe
  2⤵
  PID:9004
- C:\Windows\System32\DYpknPW.exe
  C:\Windows\System32\DYpknPW.exe
  2⤵
  PID:9104
- C:\Windows\System32\lGskZXv.exe
  C:\Windows\System32\lGskZXv.exe
  2⤵
  PID:7732
- C:\Windows\System32\AHJCgui.exe
  C:\Windows\System32\AHJCgui.exe
  2⤵
  PID:7616
- C:\Windows\System32\TCdPFvI.exe
  C:\Windows\System32\TCdPFvI.exe
  2⤵
  PID:8300
- C:\Windows\System32\PeDdzSD.exe
  C:\Windows\System32\PeDdzSD.exe
  2⤵
  PID:8280
- C:\Windows\System32\wQVpavG.exe
  C:\Windows\System32\wQVpavG.exe
  2⤵
  PID:8592
- C:\Windows\System32\PZaFUcs.exe
  C:\Windows\System32\PZaFUcs.exe
  2⤵
  PID:8716
- C:\Windows\System32\ZzAAjVx.exe
  C:\Windows\System32\ZzAAjVx.exe
  2⤵
  PID:8904
- C:\Windows\System32\RaIcWQt.exe
  C:\Windows\System32\RaIcWQt.exe
  2⤵
  PID:8948
- C:\Windows\System32\UEmpnoe.exe
  C:\Windows\System32\UEmpnoe.exe
  2⤵
  PID:8136
- C:\Windows\System32\tYOADgu.exe
  C:\Windows\System32\tYOADgu.exe
  2⤵
  PID:7592
- C:\Windows\System32\ohCSXnH.exe
  C:\Windows\System32\ohCSXnH.exe
  2⤵
  PID:8340
- C:\Windows\System32\ImoTWhr.exe
  C:\Windows\System32\ImoTWhr.exe
  2⤵
  PID:8616
- C:\Windows\System32\mDLAVxj.exe
  C:\Windows\System32\mDLAVxj.exe
  2⤵
  PID:5332
- C:\Windows\System32\URkOecr.exe
  C:\Windows\System32\URkOecr.exe
  2⤵
  PID:8236
- C:\Windows\System32\UphAoDf.exe
  C:\Windows\System32\UphAoDf.exe
  2⤵
  PID:8796
- C:\Windows\System32\oJBxrdE.exe
  C:\Windows\System32\oJBxrdE.exe
  2⤵
  PID:8748
- C:\Windows\System32\IsCIpOG.exe
  C:\Windows\System32\IsCIpOG.exe
  2⤵
  PID:9220
- C:\Windows\System32\IZZTaox.exe
  C:\Windows\System32\IZZTaox.exe
  2⤵
  PID:9276
- C:\Windows\System32\HexnZuh.exe
  C:\Windows\System32\HexnZuh.exe
  2⤵
  PID:9320
- C:\Windows\System32\ZJqOrIu.exe
  C:\Windows\System32\ZJqOrIu.exe
  2⤵
  PID:9344
- C:\Windows\System32\ohxqWTH.exe
  C:\Windows\System32\ohxqWTH.exe
  2⤵
  PID:9360
- C:\Windows\System32\HUTmWnK.exe
  C:\Windows\System32\HUTmWnK.exe
  2⤵
  PID:9384
- C:\Windows\System32\zOgLKqr.exe
  C:\Windows\System32\zOgLKqr.exe
  2⤵
  PID:9404
- C:\Windows\System32\jVCwHLh.exe
  C:\Windows\System32\jVCwHLh.exe
  2⤵
  PID:9420
- C:\Windows\System32\xWnxWHO.exe
  C:\Windows\System32\xWnxWHO.exe
  2⤵
  PID:9484
- C:\Windows\System32\JUtRFsk.exe
  C:\Windows\System32\JUtRFsk.exe
  2⤵
  PID:9516
- C:\Windows\System32\MyPRmOQ.exe
  C:\Windows\System32\MyPRmOQ.exe
  2⤵
  PID:9540
- C:\Windows\System32\GfDDPsv.exe
  C:\Windows\System32\GfDDPsv.exe
  2⤵
  PID:9564
- C:\Windows\System32\bboRVsC.exe
  C:\Windows\System32\bboRVsC.exe
  2⤵
  PID:9596
- C:\Windows\System32\kBesdsf.exe
  C:\Windows\System32\kBesdsf.exe
  2⤵
  PID:9640
- C:\Windows\System32\SmOkMdc.exe
  C:\Windows\System32\SmOkMdc.exe
  2⤵
  PID:9664
- C:\Windows\System32\OjaBwkO.exe
  C:\Windows\System32\OjaBwkO.exe
  2⤵
  PID:9680
- C:\Windows\System32\pnwlmYF.exe
  C:\Windows\System32\pnwlmYF.exe
  2⤵
  PID:9704
- C:\Windows\System32\jHERJsI.exe
  C:\Windows\System32\jHERJsI.exe
  2⤵
  PID:9728
- C:\Windows\System32\oKhmOpr.exe
  C:\Windows\System32\oKhmOpr.exe
  2⤵
  PID:9752
- C:\Windows\System32\CdkAURL.exe
  C:\Windows\System32\CdkAURL.exe
  2⤵
  PID:9796
- C:\Windows\System32\hwWUqqP.exe
  C:\Windows\System32\hwWUqqP.exe
  2⤵
  PID:9832
- C:\Windows\System32\ATLnCMv.exe
  C:\Windows\System32\ATLnCMv.exe
  2⤵
  PID:9852
- C:\Windows\System32\lLMtEaf.exe
  C:\Windows\System32\lLMtEaf.exe
  2⤵
  PID:9884
- C:\Windows\System32\nnPWsZc.exe
  C:\Windows\System32\nnPWsZc.exe
  2⤵
  PID:9916
- C:\Windows\System32\oQBMNoW.exe
  C:\Windows\System32\oQBMNoW.exe
  2⤵
  PID:9944
- C:\Windows\System32\kvNfNFx.exe
  C:\Windows\System32\kvNfNFx.exe
  2⤵
  PID:9964
- C:\Windows\System32\RdgfyWu.exe
  C:\Windows\System32\RdgfyWu.exe
  2⤵
  PID:10000
- C:\Windows\System32\eARGOTc.exe
  C:\Windows\System32\eARGOTc.exe
  2⤵
  PID:10020
- C:\Windows\System32\GNkcuAN.exe
  C:\Windows\System32\GNkcuAN.exe
  2⤵
  PID:10044
- C:\Windows\System32\njGxYaK.exe
  C:\Windows\System32\njGxYaK.exe
  2⤵
  PID:10072
- C:\Windows\System32\hDdaCJR.exe
  C:\Windows\System32\hDdaCJR.exe
  2⤵
  PID:10108
- C:\Windows\System32\WEDKOCy.exe
  C:\Windows\System32\WEDKOCy.exe
  2⤵
  PID:10140
- C:\Windows\System32\dWGUoQc.exe
  C:\Windows\System32\dWGUoQc.exe
  2⤵
  PID:10160
- C:\Windows\System32\TXsmXTN.exe
  C:\Windows\System32\TXsmXTN.exe
  2⤵
  PID:10180
- C:\Windows\System32\KsAasZV.exe
  C:\Windows\System32\KsAasZV.exe
  2⤵
  PID:10212
- C:\Windows\System32\gGaDxhD.exe
  C:\Windows\System32\gGaDxhD.exe
  2⤵
  PID:9244
- C:\Windows\System32\xxShhvk.exe
  C:\Windows\System32\xxShhvk.exe
  2⤵
  PID:9260
- C:\Windows\System32\NEGRJba.exe
  C:\Windows\System32\NEGRJba.exe
  2⤵
  PID:9288
- C:\Windows\System32\IZBAAJm.exe
  C:\Windows\System32\IZBAAJm.exe
  2⤵
  PID:9400
- C:\Windows\System32\ffPhKwF.exe
  C:\Windows\System32\ffPhKwF.exe
  2⤵
  PID:9440
- C:\Windows\System32\tsNXosS.exe
  C:\Windows\System32\tsNXosS.exe
  2⤵
  PID:9492
- C:\Windows\System32\iyuoCCP.exe
  C:\Windows\System32\iyuoCCP.exe
  2⤵
  PID:9572
- C:\Windows\System32\NHKmttn.exe
  C:\Windows\System32\NHKmttn.exe
  2⤵
  PID:9672
- C:\Windows\System32\cVLQwRG.exe
  C:\Windows\System32\cVLQwRG.exe
  2⤵
  PID:9776
- C:\Windows\System32\fgTXaCY.exe
  C:\Windows\System32\fgTXaCY.exe
  2⤵
  PID:9760
- C:\Windows\System32\yrdaTNi.exe
  C:\Windows\System32\yrdaTNi.exe
  2⤵
  PID:9848
- C:\Windows\System32\fYxPyHM.exe
  C:\Windows\System32\fYxPyHM.exe
  2⤵
  PID:9864
- C:\Windows\System32\AfyJMhz.exe
  C:\Windows\System32\AfyJMhz.exe
  2⤵
  PID:9928
- C:\Windows\System32\cXybLHD.exe
  C:\Windows\System32\cXybLHD.exe
  2⤵
  PID:10012
- C:\Windows\System32\lqqPxoi.exe
  C:\Windows\System32\lqqPxoi.exe
  2⤵
  PID:10060
- C:\Windows\System32\IwnhiUg.exe
  C:\Windows\System32\IwnhiUg.exe
  2⤵
  PID:10084
- C:\Windows\System32\pFElycK.exe
  C:\Windows\System32\pFElycK.exe
  2⤵
  PID:10152
- C:\Windows\System32\myaMGSx.exe
  C:\Windows\System32\myaMGSx.exe
  2⤵
  PID:9300
- C:\Windows\System32\WzPSRtS.exe
  C:\Windows\System32\WzPSRtS.exe
  2⤵
  PID:9380
- C:\Windows\System32\tMkExOr.exe
  C:\Windows\System32\tMkExOr.exe
  2⤵
  PID:9548
- C:\Windows\System32\gTckCTz.exe
  C:\Windows\System32\gTckCTz.exe
  2⤵
  PID:9740
- C:\Windows\System32\xBfPMSA.exe
  C:\Windows\System32\xBfPMSA.exe
  2⤵
  PID:9924
- C:\Windows\System32\XCCAyXj.exe
  C:\Windows\System32\XCCAyXj.exe
  2⤵
  PID:10196
- C:\Windows\System32\BhnEQUr.exe
  C:\Windows\System32\BhnEQUr.exe
  2⤵
  PID:9468
- C:\Windows\System32\tfrssFp.exe
  C:\Windows\System32\tfrssFp.exe
  2⤵
  PID:9860
- C:\Windows\System32\TKytpdw.exe
  C:\Windows\System32\TKytpdw.exe
  2⤵
  PID:9876
- C:\Windows\System32\oLmclMk.exe
  C:\Windows\System32\oLmclMk.exe
  2⤵
  PID:10096
- C:\Windows\System32\VgDdvRp.exe
  C:\Windows\System32\VgDdvRp.exe
  2⤵
  PID:10252
- C:\Windows\System32\IKIXXIk.exe
  C:\Windows\System32\IKIXXIk.exe
  2⤵
  PID:10272
- C:\Windows\System32\vxLDMlT.exe
  C:\Windows\System32\vxLDMlT.exe
  2⤵
  PID:10288
- C:\Windows\System32\EXMirnz.exe
  C:\Windows\System32\EXMirnz.exe
  2⤵
  PID:10316
- C:\Windows\System32\PhAcJWf.exe
  C:\Windows\System32\PhAcJWf.exe
  2⤵
  PID:10336
- C:\Windows\System32\IOsZITy.exe
  C:\Windows\System32\IOsZITy.exe
  2⤵
  PID:10360
- C:\Windows\System32\DmigEFU.exe
  C:\Windows\System32\DmigEFU.exe
  2⤵
  PID:10380
- C:\Windows\System32\KknSvzz.exe
  C:\Windows\System32\KknSvzz.exe
  2⤵
  PID:10428
- C:\Windows\System32\KOPVIFD.exe
  C:\Windows\System32\KOPVIFD.exe
  2⤵
  PID:10464
- C:\Windows\System32\ABVhYXX.exe
  C:\Windows\System32\ABVhYXX.exe
  2⤵
  PID:10488
- C:\Windows\System32\zgseImU.exe
  C:\Windows\System32\zgseImU.exe
  2⤵
  PID:10508
- C:\Windows\System32\tlLRDQq.exe
  C:\Windows\System32\tlLRDQq.exe
  2⤵
  PID:10540
- C:\Windows\System32\GOJpMqK.exe
  C:\Windows\System32\GOJpMqK.exe
  2⤵
  PID:10580
- C:\Windows\System32\EXKpxAw.exe
  C:\Windows\System32\EXKpxAw.exe
  2⤵
  PID:10604
- C:\Windows\System32\vnsSgkV.exe
  C:\Windows\System32\vnsSgkV.exe
  2⤵
  PID:10624
- C:\Windows\System32\XFxGDgG.exe
  C:\Windows\System32\XFxGDgG.exe
  2⤵
  PID:10648
- C:\Windows\System32\oLdZhYV.exe
  C:\Windows\System32\oLdZhYV.exe
  2⤵
  PID:10684
- C:\Windows\System32\gsvBeRO.exe
  C:\Windows\System32\gsvBeRO.exe
  2⤵
  PID:10716
- C:\Windows\System32\Wvmwnkn.exe
  C:\Windows\System32\Wvmwnkn.exe
  2⤵
  PID:10736
- C:\Windows\System32\rGDEryf.exe
  C:\Windows\System32\rGDEryf.exe
  2⤵
  PID:10756
- C:\Windows\System32\csvpvKk.exe
  C:\Windows\System32\csvpvKk.exe
  2⤵
  PID:10804
- C:\Windows\System32\ItUFltx.exe
  C:\Windows\System32\ItUFltx.exe
  2⤵
  PID:10824
- C:\Windows\System32\QPNVkkn.exe
  C:\Windows\System32\QPNVkkn.exe
  2⤵
  PID:10856
- C:\Windows\System32\lqjOZXW.exe
  C:\Windows\System32\lqjOZXW.exe
  2⤵
  PID:10888
- C:\Windows\System32\cQbWjJI.exe
  C:\Windows\System32\cQbWjJI.exe
  2⤵
  PID:10912
- C:\Windows\System32\lsYncht.exe
  C:\Windows\System32\lsYncht.exe
  2⤵
  PID:10940
- C:\Windows\System32\BlwHGEn.exe
  C:\Windows\System32\BlwHGEn.exe
  2⤵
  PID:10960
- C:\Windows\System32\QMWCTrU.exe
  C:\Windows\System32\QMWCTrU.exe
  2⤵
  PID:10976
- C:\Windows\System32\vfIDpyr.exe
  C:\Windows\System32\vfIDpyr.exe
  2⤵
  PID:10996
- C:\Windows\System32\dMQuQDr.exe
  C:\Windows\System32\dMQuQDr.exe
  2⤵
  PID:11024
- C:\Windows\System32\OsdNFtk.exe
  C:\Windows\System32\OsdNFtk.exe
  2⤵
  PID:11060
- C:\Windows\System32\qCxXqLR.exe
  C:\Windows\System32\qCxXqLR.exe
  2⤵
  PID:11080
- C:\Windows\System32\TEUmAfc.exe
  C:\Windows\System32\TEUmAfc.exe
  2⤵
  PID:11120
- C:\Windows\System32\rvRaZrO.exe
  C:\Windows\System32\rvRaZrO.exe
  2⤵
  PID:11156
- C:\Windows\System32\KCfdNWS.exe
  C:\Windows\System32\KCfdNWS.exe
  2⤵
  PID:11184
- C:\Windows\System32\mqqDRPu.exe
  C:\Windows\System32\mqqDRPu.exe
  2⤵
  PID:11204
- C:\Windows\System32\NjRggSF.exe
  C:\Windows\System32\NjRggSF.exe
  2⤵
  PID:11224
- C:\Windows\System32\aPToOxD.exe
  C:\Windows\System32\aPToOxD.exe
  2⤵
  PID:11256
- C:\Windows\System32\BsCJBbx.exe
  C:\Windows\System32\BsCJBbx.exe
  2⤵
  PID:9768
- C:\Windows\System32\ZFxTkSr.exe
  C:\Windows\System32\ZFxTkSr.exe
  2⤵
  PID:10300
- C:\Windows\System32\idxeOBu.exe
  C:\Windows\System32\idxeOBu.exe
  2⤵
  PID:10392
- C:\Windows\System32\SCwnIxB.exe
  C:\Windows\System32\SCwnIxB.exe
  2⤵
  PID:10500
- C:\Windows\System32\naENHMk.exe
  C:\Windows\System32\naENHMk.exe
  2⤵
  PID:10560
- C:\Windows\System32\QxsTKqL.exe
  C:\Windows\System32\QxsTKqL.exe
  2⤵
  PID:10680
- C:\Windows\System32\kUPAlvK.exe
  C:\Windows\System32\kUPAlvK.exe
  2⤵
  PID:10748
- C:\Windows\System32\oIHoQNU.exe
  C:\Windows\System32\oIHoQNU.exe
  2⤵
  PID:10776
- C:\Windows\System32\SYBhVOl.exe
  C:\Windows\System32\SYBhVOl.exe
  2⤵
  PID:10844
- C:\Windows\System32\wuKcQJT.exe
  C:\Windows\System32\wuKcQJT.exe
  2⤵
  PID:10920
- C:\Windows\System32\jTdHudm.exe
  C:\Windows\System32\jTdHudm.exe
  2⤵
  PID:10948
- C:\Windows\System32\GtZbsYM.exe
  C:\Windows\System32\GtZbsYM.exe
  2⤵
  PID:10968
- C:\Windows\System32\TyUlLKS.exe
  C:\Windows\System32\TyUlLKS.exe
  2⤵
  PID:11092
- C:\Windows\System32\BrPzYIM.exe
  C:\Windows\System32\BrPzYIM.exe
  2⤵
  PID:11148
- C:\Windows\System32\gyPMzRc.exe
  C:\Windows\System32\gyPMzRc.exe
  2⤵
  PID:11220
- C:\Windows\System32\HBXXvBw.exe
  C:\Windows\System32\HBXXvBw.exe
  2⤵
  PID:11248
- C:\Windows\System32\RLczivV.exe
  C:\Windows\System32\RLczivV.exe
  2⤵
  PID:10284
- C:\Windows\System32\kYTSSaN.exe
  C:\Windows\System32\kYTSSaN.exe
  2⤵
  PID:10440
- C:\Windows\System32\cZMCNaw.exe
  C:\Windows\System32\cZMCNaw.exe
  2⤵
  PID:10484
- C:\Windows\System32\uDqxKTt.exe
  C:\Windows\System32\uDqxKTt.exe
  2⤵
  PID:10612
- C:\Windows\System32\BuQiaEB.exe
  C:\Windows\System32\BuQiaEB.exe
  2⤵
  PID:10816
- C:\Windows\System32\VpPCjNP.exe
  C:\Windows\System32\VpPCjNP.exe
  2⤵
  PID:11036
- C:\Windows\System32\YFWGonV.exe
  C:\Windows\System32\YFWGonV.exe
  2⤵
  PID:11252
- C:\Windows\System32\qqicZEi.exe
  C:\Windows\System32\qqicZEi.exe
  2⤵
  PID:10368
- C:\Windows\System32\ipIgYvq.exe
  C:\Windows\System32\ipIgYvq.exe
  2⤵
  PID:10616
- C:\Windows\System32\HdjPPqC.exe
  C:\Windows\System32\HdjPPqC.exe
  2⤵
  PID:10516
- C:\Windows\System32\dHCQUHa.exe
  C:\Windows\System32\dHCQUHa.exe
  2⤵
  PID:10792
- C:\Windows\System32\eSypQbR.exe
  C:\Windows\System32\eSypQbR.exe
  2⤵
  PID:11272
- C:\Windows\System32\aUgDcXJ.exe
  C:\Windows\System32\aUgDcXJ.exe
  2⤵
  PID:11304
- C:\Windows\System32\PjAoJFj.exe
  C:\Windows\System32\PjAoJFj.exe
  2⤵
  PID:11328
- C:\Windows\System32\wMiaInB.exe
  C:\Windows\System32\wMiaInB.exe
  2⤵
  PID:11348
- C:\Windows\System32\rPqbbIl.exe
  C:\Windows\System32\rPqbbIl.exe
  2⤵
  PID:11372
- C:\Windows\System32\kbFNlMl.exe
  C:\Windows\System32\kbFNlMl.exe
  2⤵
  PID:11424
- C:\Windows\System32\urKrYRB.exe
  C:\Windows\System32\urKrYRB.exe
  2⤵
  PID:11444
- C:\Windows\System32\UzJovvr.exe
  C:\Windows\System32\UzJovvr.exe
  2⤵
  PID:11468
- C:\Windows\System32\OHIPtFZ.exe
  C:\Windows\System32\OHIPtFZ.exe
  2⤵
  PID:11496
- C:\Windows\System32\FPRVQrC.exe
  C:\Windows\System32\FPRVQrC.exe
  2⤵
  PID:11564
- C:\Windows\System32\xihgizs.exe
  C:\Windows\System32\xihgizs.exe
  2⤵
  PID:11580
- C:\Windows\System32\qZplrbZ.exe
  C:\Windows\System32\qZplrbZ.exe
  2⤵
  PID:11596
- C:\Windows\System32\DcSloUm.exe
  C:\Windows\System32\DcSloUm.exe
  2⤵
  PID:11624
- C:\Windows\System32\cronKsg.exe
  C:\Windows\System32\cronKsg.exe
  2⤵
  PID:11652
- C:\Windows\System32\PbwIYJG.exe
  C:\Windows\System32\PbwIYJG.exe
  2⤵
  PID:11672
- C:\Windows\System32\iFRAsWE.exe
  C:\Windows\System32\iFRAsWE.exe
  2⤵
  PID:11704
- C:\Windows\System32\rkNdteo.exe
  C:\Windows\System32\rkNdteo.exe
  2⤵
  PID:11720
- C:\Windows\System32\bwUgubg.exe
  C:\Windows\System32\bwUgubg.exe
  2⤵
  PID:11756
- C:\Windows\System32\vfzNmoc.exe
  C:\Windows\System32\vfzNmoc.exe
  2⤵
  PID:11780
- C:\Windows\System32\KetEvhj.exe
  C:\Windows\System32\KetEvhj.exe
  2⤵
  PID:11808
- C:\Windows\System32\BJIEzwr.exe
  C:\Windows\System32\BJIEzwr.exe
  2⤵
  PID:11840
- C:\Windows\System32\oSnmlXP.exe
  C:\Windows\System32\oSnmlXP.exe
  2⤵
  PID:11880
- C:\Windows\System32\PoXwsGB.exe
  C:\Windows\System32\PoXwsGB.exe
  2⤵
  PID:11908
- C:\Windows\System32\LvZdLrg.exe
  C:\Windows\System32\LvZdLrg.exe
  2⤵
  PID:11936
- C:\Windows\System32\qTEgsRp.exe
  C:\Windows\System32\qTEgsRp.exe
  2⤵
  PID:11960
- C:\Windows\System32\ejvcdXj.exe
  C:\Windows\System32\ejvcdXj.exe
  2⤵
  PID:11980
- C:\Windows\System32\kiXXftN.exe
  C:\Windows\System32\kiXXftN.exe
  2⤵
  PID:12008
- C:\Windows\System32\ngOfHnd.exe
  C:\Windows\System32\ngOfHnd.exe
  2⤵
  PID:12056
- C:\Windows\System32\LBshDma.exe
  C:\Windows\System32\LBshDma.exe
  2⤵
  PID:12076
- C:\Windows\System32\QaEUxXw.exe
  C:\Windows\System32\QaEUxXw.exe
  2⤵
  PID:12104
- C:\Windows\System32\DnjOQZF.exe
  C:\Windows\System32\DnjOQZF.exe
  2⤵
  PID:12124
- C:\Windows\System32\BqvoQID.exe
  C:\Windows\System32\BqvoQID.exe
  2⤵
  PID:12160
- C:\Windows\System32\dArWbhH.exe
  C:\Windows\System32\dArWbhH.exe
  2⤵
  PID:12208
- C:\Windows\System32\zssYNwW.exe
  C:\Windows\System32\zssYNwW.exe
  2⤵
  PID:12228
- C:\Windows\System32\hyYhkzS.exe
  C:\Windows\System32\hyYhkzS.exe
  2⤵
  PID:12268
- C:\Windows\System32\JVkernW.exe
  C:\Windows\System32\JVkernW.exe
  2⤵
  PID:12284
- C:\Windows\System32\dlbOtcd.exe
  C:\Windows\System32\dlbOtcd.exe
  2⤵
  PID:11280
- C:\Windows\System32\eLNgccf.exe
  C:\Windows\System32\eLNgccf.exe
  2⤵
  PID:11344
- C:\Windows\System32\OpTmTeV.exe
  C:\Windows\System32\OpTmTeV.exe
  2⤵
  PID:11400
- C:\Windows\System32\YDGnmtV.exe
  C:\Windows\System32\YDGnmtV.exe
  2⤵
  PID:11452
- C:\Windows\System32\TVMVdjS.exe
  C:\Windows\System32\TVMVdjS.exe
  2⤵
  PID:11552
- C:\Windows\System32\oRzmfPh.exe
  C:\Windows\System32\oRzmfPh.exe
  2⤵
  PID:11592
- C:\Windows\System32\uVWwcNV.exe
  C:\Windows\System32\uVWwcNV.exe
  2⤵
  PID:11648
- C:\Windows\System32\RxKGlHx.exe
  C:\Windows\System32\RxKGlHx.exe
  2⤵
  PID:11684
- C:\Windows\System32\trYDKhM.exe
  C:\Windows\System32\trYDKhM.exe
  2⤵
  PID:11716
- C:\Windows\System32\KbyCvvz.exe
  C:\Windows\System32\KbyCvvz.exe
  2⤵
  PID:11824
- C:\Windows\System32\jYSCFLV.exe
  C:\Windows\System32\jYSCFLV.exe
  2⤵
  PID:11904
- C:\Windows\System32\KXdZcDW.exe
  C:\Windows\System32\KXdZcDW.exe
  2⤵
  PID:11976
- C:\Windows\System32\mbjicgi.exe
  C:\Windows\System32\mbjicgi.exe
  2⤵
  PID:12040
- C:\Windows\System32\eZaxBVg.exe
  C:\Windows\System32\eZaxBVg.exe
  2⤵
  PID:2816
- C:\Windows\System32\ZMWhpbM.exe
  C:\Windows\System32\ZMWhpbM.exe
  2⤵
  PID:2960
- C:\Windows\System32\ormorER.exe
  C:\Windows\System32\ormorER.exe
  2⤵
  PID:12184
- C:\Windows\System32\Qalzamp.exe
  C:\Windows\System32\Qalzamp.exe
  2⤵
  PID:12276
- C:\Windows\System32\bLeTBYe.exe
  C:\Windows\System32\bLeTBYe.exe
  2⤵
  PID:11404
- C:\Windows\System32\vAaTzQw.exe
  C:\Windows\System32\vAaTzQw.exe
  2⤵
  PID:11532
- C:\Windows\System32\vYVaGqD.exe
  C:\Windows\System32\vYVaGqD.exe
  2⤵
  PID:11576
- C:\Windows\System32\dCkWKYl.exe
  C:\Windows\System32\dCkWKYl.exe
  2⤵
  PID:11768
- C:\Windows\System32\WIGIVVE.exe
  C:\Windows\System32\WIGIVVE.exe
  2⤵
  PID:11920
- C:\Windows\System32\qRhipjh.exe
  C:\Windows\System32\qRhipjh.exe
  2⤵
  PID:12020
- C:\Windows\System32\ADkjIXf.exe
  C:\Windows\System32\ADkjIXf.exe
  2⤵
  PID:12100
- C:\Windows\System32\mddpvDC.exe
  C:\Windows\System32\mddpvDC.exe
  2⤵
  PID:11312
- C:\Windows\System32\fTASjNM.exe
  C:\Windows\System32\fTASjNM.exe
  2⤵
  PID:11956
- C:\Windows\System32\unCaddM.exe
  C:\Windows\System32\unCaddM.exe
  2⤵
  PID:12004
- C:\Windows\System32\oMmNqni.exe
  C:\Windows\System32\oMmNqni.exe
  2⤵
  PID:11892
- C:\Windows\System32\RBrnsDm.exe
  C:\Windows\System32\RBrnsDm.exe
  2⤵
  PID:12136
- C:\Windows\System32\FMVtCBP.exe
  C:\Windows\System32\FMVtCBP.exe
  2⤵
  PID:12292
- C:\Windows\System32\FjALdeX.exe
  C:\Windows\System32\FjALdeX.exe
  2⤵
  PID:12312
- C:\Windows\System32\gliZLdE.exe
  C:\Windows\System32\gliZLdE.exe
  2⤵
  PID:12332
- C:\Windows\System32\BJFKHQi.exe
  C:\Windows\System32\BJFKHQi.exe
  2⤵
  PID:12356
- C:\Windows\System32\rHDOCkj.exe
  C:\Windows\System32\rHDOCkj.exe
  2⤵
  PID:12392
- C:\Windows\System32\FUzLJjD.exe
  C:\Windows\System32\FUzLJjD.exe
  2⤵
  PID:12412
- C:\Windows\System32\uhhiQsJ.exe
  C:\Windows\System32\uhhiQsJ.exe
  2⤵
  PID:12440
- C:\Windows\System32\RZcNCDR.exe
  C:\Windows\System32\RZcNCDR.exe
  2⤵
  PID:12484
- C:\Windows\System32\OHzHpPW.exe
  C:\Windows\System32\OHzHpPW.exe
  2⤵
  PID:12504
- C:\Windows\System32\YRXAvug.exe
  C:\Windows\System32\YRXAvug.exe
  2⤵
  PID:12524
- C:\Windows\System32\QgvYsBI.exe
  C:\Windows\System32\QgvYsBI.exe
  2⤵
  PID:12552
- C:\Windows\System32\RhzXIjs.exe
  C:\Windows\System32\RhzXIjs.exe
  2⤵
  PID:12576
- C:\Windows\System32\XBGUQGd.exe
  C:\Windows\System32\XBGUQGd.exe
  2⤵
  PID:12628
- C:\Windows\System32\BhMuVze.exe
  C:\Windows\System32\BhMuVze.exe
  2⤵
  PID:12656
- C:\Windows\System32\AMCqFsZ.exe
  C:\Windows\System32\AMCqFsZ.exe
  2⤵
  PID:12676
- C:\Windows\System32\nnbVadC.exe
  C:\Windows\System32\nnbVadC.exe
  2⤵
  PID:12692
- C:\Windows\System32\TCffaBX.exe
  C:\Windows\System32\TCffaBX.exe
  2⤵
  PID:12720
- C:\Windows\System32\OprMPxA.exe
  C:\Windows\System32\OprMPxA.exe
  2⤵
  PID:12744
- C:\Windows\System32\OWlbzku.exe
  C:\Windows\System32\OWlbzku.exe
  2⤵
  PID:12796
- C:\Windows\System32\yrGdeSP.exe
  C:\Windows\System32\yrGdeSP.exe
  2⤵
  PID:12832
- C:\Windows\System32\SnkoenA.exe
  C:\Windows\System32\SnkoenA.exe
  2⤵
  PID:12852
- C:\Windows\System32\TCsnbTw.exe
  C:\Windows\System32\TCsnbTw.exe
  2⤵
  PID:12884
- C:\Windows\System32\mihupov.exe
  C:\Windows\System32\mihupov.exe
  2⤵
  PID:12912
- C:\Windows\System32\YKSVEvz.exe
  C:\Windows\System32\YKSVEvz.exe
  2⤵
  PID:12944
- C:\Windows\System32\CaDjCdW.exe
  C:\Windows\System32\CaDjCdW.exe
  2⤵
  PID:12976
- C:\Windows\System32\jgdqUic.exe
  C:\Windows\System32\jgdqUic.exe
  2⤵
  PID:12992
- C:\Windows\System32\IAjHFab.exe
  C:\Windows\System32\IAjHFab.exe
  2⤵
  PID:13020
- C:\Windows\System32\RjfdgTP.exe
  C:\Windows\System32\RjfdgTP.exe
  2⤵
  PID:13060
- C:\Windows\System32\zTRSrCE.exe
  C:\Windows\System32\zTRSrCE.exe
  2⤵
  PID:13088
- C:\Windows\System32\dQTVeJS.exe
  C:\Windows\System32\dQTVeJS.exe
  2⤵
  PID:13104
- C:\Windows\System32\SRjgZIc.exe
  C:\Windows\System32\SRjgZIc.exe
  2⤵
  PID:13124
- C:\Windows\System32\RpLmtws.exe
  C:\Windows\System32\RpLmtws.exe
  2⤵
  PID:13156
- C:\Windows\System32\PGCuBZk.exe
  C:\Windows\System32\PGCuBZk.exe
  2⤵
  PID:13184
- C:\Windows\System32\DvOOglR.exe
  C:\Windows\System32\DvOOglR.exe
  2⤵
  PID:13224
- C:\Windows\System32\TOlJKCn.exe
  C:\Windows\System32\TOlJKCn.exe
  2⤵
  PID:13240
- C:\Windows\System32\uQBraGZ.exe
  C:\Windows\System32\uQBraGZ.exe
  2⤵
  PID:13260

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12728

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ADxkjhT.exe

Filesize
1.7MB

MD5
d3a1952062400c3a28794ba7f372bfec

SHA1
0e61f409b90d6612bf97183b28915e90f9fa0766

SHA256
db9ef78e82f08b132561d584badfc2b949a328ed0420bcd5698584f7356b1199

SHA512
95b2bf1140f6b435b917b94fac73dfb3372865c97af23020255332675f018414ea883c8cb7cffee91075176f5edc31a25d636b2f941ffe87743c0a4c493132d8

Download Submit
C:\Windows\System32\AEBFlmr.exe

Filesize
1.7MB

MD5
5242415f0c2d26f553e5c5345a5517ff

SHA1
56a40721ed1bf758df681f1049f1c5a49ad4b60b

SHA256
26f9090d4300abf67e9c69b4c09a4b2c80753473497b3f178b330b0c2c900f67

SHA512
fd4c8affe6143f1a08458fb118d5c9199f828edde1b361c6cee27823ea0918e081a43d3d86afef9a603aa4e06648ce85c3e6d1f7f3df8faa83ea2606f99beea7

Download Submit
C:\Windows\System32\BDfnouW.exe

Filesize
1.7MB

MD5
b148c7674df748079716c9f366ab6b82

SHA1
426e7f372777a613a6b120f7fb475d11a1b43aea

SHA256
19a566a2b0e57e90df2cc39ee45e4fb4adae7ba7ca7a57c04f99e1c849237d1c

SHA512
3e265cd5b5022469966d91497f96a1d76153016f626c680ec1d7bbc8e4ca3357e440b21a51143003db9ce56f2ec34efe502a1405601e2017f3b50f00e21a0ffb

Download Submit
C:\Windows\System32\DwnlItT.exe

Filesize
1.7MB

MD5
a6b1dbae5e2c020cf29b2c761d9ce7e8

SHA1
73c655de47555ac116f4d9a321304248f5bc2334

SHA256
cfa1166fe131efad826cc2b08f4181b4e8c74340255f66806532d96e76d488cc

SHA512
10e50e96f93f6b5028d49af5f889bc57c11ab3b38caaa02c508c05bccaca981533ec23e1cd3e31e26dfcd38c8011c7cbad7944b01815f0bc46360e86eb178b5f

Download Submit
C:\Windows\System32\EJvLJUQ.exe

Filesize
1.7MB

MD5
608f8c6c9b82106de0073376839f136e

SHA1
dc7dca3f184e760f17d50f280e089c4399cafc95

SHA256
d44bdb02af7b1853e61ed22446ca4b55c6b3f84a6bfe77f5a60c140a42725301

SHA512
10db1d18e25bffab2df1e33e7c4f84777f76c32816a5691719fd88b49ded67ce87e45b9032887e8074f541b28ae9a36ff27bdc3024e0380ad173da6527f0025a

Download Submit
C:\Windows\System32\HQQylbM.exe

Filesize
1.7MB

MD5
adfcbd209ef6ccb5d9a4a0f5eac6b19b

SHA1
55083459882a6578f354cf602948e78f784292b2

SHA256
77fc98e187a05746afc523923b4573859abe9a05902f64ac34e8127c3ec6b1db

SHA512
b6c93e98712e1d070db739200cbce361b47afe5fdf25f1822993893fb644cdb5db1f47971a4056a8fa93c7366f64d9b7a5c4e799e8252a11be83d9e7cb2e88d7

Download Submit
C:\Windows\System32\MoGQVkV.exe

Filesize
1.7MB

MD5
488e6b95b645c96ba8541cedc65d86e5

SHA1
2e6a5ce71c0899ae8951e9cdce3afa453cea025d

SHA256
9f8cd991d86e8484a5f3267bd772fa4fc6739744c9e97475ebd6cb1f2bffe2a7

SHA512
0e45a85b8b3cfdf793108635aaccce2a95039b8097f91a025e6668bef2e74507b4359e5c06843c4aa8aaa0c395b8ea7da9e95a60fdadb201543cd6a3619a332c

Download Submit
C:\Windows\System32\QEYwQzh.exe

Filesize
1.7MB

MD5
bfe74b80d52758d2ce5cd62d43bd57ff

SHA1
74dddb3a536faf23c4bfb49415eabe99d5a161b6

SHA256
6eda262cba19c89fc163e4a8ae0308bccbc15b9f5c4505eae3d38a5ec8e29014

SHA512
0b44d3f92d976b6a4e5f7b16ec89525ffabc7432339cf236d3667821f8664f90e501cfab8cef90a770034c91049d43f8b1cd102448da37bc41b0bbf971d4de14

Download Submit
C:\Windows\System32\ScghlQw.exe

Filesize
1.7MB

MD5
1d8c79b4b29406df3438ca5bc8cec4fd

SHA1
5e9ca2611870b3352f2d91b90916200caf6ef1cd

SHA256
7cd7ce68507ffe6f959a1fe19a410b55846b1c5423cff16b0e7cd5e67eee8c5d

SHA512
8cfc011eb5f4db7a402a188881074ffa62371f01ee885d00d3ac0c841e2dacd0b24c1b25a907f7369846927d6547726c8925e1b756d21c3bcfd26f3391228344

Download Submit
C:\Windows\System32\TZcrHue.exe

Filesize
1.7MB

MD5
eb3393428d42ce2196308a4b618d8183

SHA1
b9ccf04fd6470a25dfe894bda5f88c3c1c814fd9

SHA256
861427606d664dd13aa19023e1a0d417a9910d76d33ccde254ba1510f2363a7d

SHA512
8e92f213a1a161652b40d6f8157daf93bd311973088d871ab5390294fd78b0a4bea1c74d12bf8c3ae09e5535968d965cc55d4fb812283f1267d640403a010e06

Download Submit
C:\Windows\System32\TbNCLNM.exe

Filesize
1.7MB

MD5
93dc6b68fd853a590f608ad61a1f459a

SHA1
233df20af9b0ac18aa9f3829728e075cc7852a63

SHA256
0e4f3e810aeea8094d612aff54cc41fc21d536535434edccb5cf742e2f9956f2

SHA512
857ab795fb0f2c21c4e13ca684f4fa4d1ce642924cab9d038097b0ca977e4e867a6f2fa89721ec091cfd4d80c0a02fc3ebe4b64730abad8c0761304844ebeb7e

Download Submit
C:\Windows\System32\VgatjkM.exe

Filesize
1.7MB

MD5
ba2206e113050bcb15deb31c45d65dfc

SHA1
8429165640d1c0f361d45e4071182552253e7d9b

SHA256
59653c00b84e9e53bfb93d4e71721fd0f02b3eb6f8a1f05b91769aa517e3e7e8

SHA512
93bf18652e443d96dc68574a00d48f465edc2e9726afa804513ab34623751c9936aace26949190c7cd856d17c80ced69cad61249c407a3b4a51e22052be957a3

Download Submit
C:\Windows\System32\Wbkwtil.exe

Filesize
1.7MB

MD5
aecc34c5952556fe1880d18d123a3819

SHA1
6afd1f30ac3a0a0183bb8caf6bd52ad3ed8ec7b8

SHA256
cf5c2d88135e5aa7ecd13206f5a4974a6977de25810717864a8032de7ef11cf3

SHA512
1af120968b9231729855381db364649d6fa8a8090133a81a63e91c918081c98fd216369bdde35e055eb356ad068928976b17b27a97ec063eccae91859853da75

Download Submit
C:\Windows\System32\aDVAYRR.exe

Filesize
1.7MB

MD5
f3ad3af90b3a9aa54d754c0ba529df22

SHA1
26b56f2d3635ae86815d91fdd28b3ccbc97efeb9

SHA256
7345a8f19e8ef1b4055321aa6066d090f111f7a87d6364ea280a789d98f176fd

SHA512
daca0bbd62fdeea06f5f8175706051a850ec7adf87dba47e023148f9925f902d8f93afff602e77fab1cf10a9f59a9e8e0ebf21a5f1b34fee993276c55bef74dd

Download Submit
C:\Windows\System32\cpdXynm.exe

Filesize
1.7MB

MD5
d7c3460386d1cbc0a326e2ef4dca8f71

SHA1
20c535b21ee46fb0b0bdc4ff3fdf031899ce0d3e

SHA256
5dff9167f33743570cec8a8667714f8349fc2c761db7ff529f1ffeb4e16a3d4c

SHA512
2c8fb7b97e115ac09266dbcaf360a52267a9099f725622d32138e203368fff07944933bdadc48a4265217d4e3c028207013bbb4e4529cca0f08a5b2c824fa83f

Download Submit
C:\Windows\System32\degeMQt.exe

Filesize
1.7MB

MD5
d7b93f6a722f6d625cb2185cd24fb6e5

SHA1
374adbfaca2f32855960b239df70330c3d54b59c

SHA256
2d6ecefe9ea34bb597c0dbfec8339d1ec03fde40bde5306dc1a67365ae194cf0

SHA512
c3393c34754d6de5c12a68c3739cd0e47c597d070699ca4238c10180677b0fedb4dbb933705ada78d0a9702c271366b692049eda8985af58707991ef178a1c81

Download Submit
C:\Windows\System32\eFtOLkw.exe

Filesize
1.7MB

MD5
23abefb604cea05b8207d10d8045772a

SHA1
c0e6782a0d2ed213b5743640312bc0cc0ded4f6a

SHA256
83d6812ebd129c457e78e78f4e371d9afda7deebf17b70662b9d456bad72b289

SHA512
0ea1a7eef7140d61b0f07aad1a6a15d4b766501dedd3d1a0c94cc62105718cf047bc4b335e40e9df2dfe6f1277b708c13b005d218fe97b70d502a7d7cc866409

Download Submit
C:\Windows\System32\fTcxyKu.exe

Filesize
1.7MB

MD5
f6ade744ebbc029579114dd2d2d4e07b

SHA1
054b756a76c3854ab8cd20e9280c2ca3fe22b2b9

SHA256
266e19304e5e31a5695494661d530ae5c02e800dd2669d4522e5ace110894fdc

SHA512
048de6d07a60deb06476347787f815e78678bc0e6d645dbfeb5928425a1bcef2ad0a626f5bf42cfbf9d0385a2ce14789d136d4ea82931715923695becdaeca31

Download Submit
C:\Windows\System32\fkdUmDO.exe

Filesize
1.7MB

MD5
b0f82016d896c603abb5c6b704f99b02

SHA1
533d2cd1faa0c87a5b769304c498e354c8f7017a

SHA256
80ef2506ab7e73b2bd83b82e8aa3adb1e5328d554ccc3402476139ab46a18167

SHA512
f391b67f4e3c04e7b499fb3df2c6a3886fcf827f2ca68a93330f836d770a912c9f714cf7c3440a52d48ae2c269583b39a3d9ee179706baf74c8560e68a3152fb

Download Submit
C:\Windows\System32\iEUdCMu.exe

Filesize
1.7MB

MD5
3975c61ac9d427d4d9a8528c8e685463

SHA1
cc54a4bce104d5219c373813980d3bd9898a1ff2

SHA256
10b1849f0a2d4c22c1485b633ce160b15a831fb1de8f5792d72dcefc3ec45fd1

SHA512
c5a301be415e11889d02f241b6dd4e258e4b077167d50ee27e87eb8f7ce8837a1a224967e56305a5312176d6e30f1ec02613a433e5d0a698a50d19b103a2f870

Download Submit
C:\Windows\System32\jrHOvvt.exe

Filesize
1.7MB

MD5
994a12a3c736ba0c2850ac578b0ac9f4

SHA1
1b9703c96cfbffe5f986eb4fa55e1539076e727c

SHA256
55935ba25778778f38a2c3eec8137908a862958513648f2679fe4b41329c9303

SHA512
7df9ca029c8f5ee5c59a24fb2c7c1a5e2955b49806e6001f7d3d41fcf7ee352e656d6aa6166c4e4d752d4fc62deb8036f15ea7b30fa15eee149a5ccabfc78b5f

Download Submit
C:\Windows\System32\kjDMIZU.exe

Filesize
1.7MB

MD5
12684427fe33f5f568dda776bb6cbe92

SHA1
8f158be4f6fe1f556f949fcee8133e70b27b5694

SHA256
08704d36851545878de340afda1c87aa4cd2c2ddb995c32f1c20bcb1a229bb59

SHA512
8ecd8aac2ee649012997e026ac793a45a44cfcc6e0d0bedf41fd6cd13863ab5b144979a6d412d102a24f3509129b12c609a5a8e4016f4971e94ed6f9d620d2b4

Download Submit
C:\Windows\System32\kjlVepe.exe

Filesize
1.7MB

MD5
421e586ce1b47526747747e38d5eaa77

SHA1
4582ce14b2f96155bdf5c68e43d32f112b927cf8

SHA256
a35d2119157a8a05097778e1bc7d3f95540b04f2148c967189415bf649785ad2

SHA512
2c60925ab62f4c7aeaeea69b1ad2f4ffb4fd85c7e48f99e551e036a65e98c36872bb4f5ba1f0b93c27e9b1fc5384a95cb7f81dc0f133653ad1b0c629ecc7b813

Download Submit
C:\Windows\System32\lquUuQk.exe

Filesize
1.7MB

MD5
d3c5fc368221664ce1eadf476094cbac

SHA1
cae1bfd3e3f7a377514f8678c7d2f81a4c6b9129

SHA256
baa57d5ff99828f7ade906e7bd54940930e6c4b093a346bc28f7a5841883b8ed

SHA512
8247b094614dbf310f2788c1a4b58df3273758902512c3e1b82f9e282069ca0da28652c03158c2faea3049efe15130503c96fb2002e41f0eb999e9308ef69ddc

Download Submit
C:\Windows\System32\mEhhDZg.exe

Filesize
1.7MB

MD5
33d4557a6add8ee8b22c594cd0b9598a

SHA1
3f1a12d8ec4c88ec9f8cf37c120cf25184f0a898

SHA256
7f2e68f6dee305028901fc36489d49142babfa9af45394a18457d3f4d82f0011

SHA512
1e37ace79787dd89b57fd5c0cbeba7ccb58b752909d5c497efb06d85ba4ee3130d5f54c1eeed545aa531e069ddd33b5bea56d6f65294c90ecdc6da6215ae432f

Download Submit
C:\Windows\System32\mFTvjSj.exe

Filesize
1.7MB

MD5
00633c97228c0a86040bd6087af56abc

SHA1
42bd4074fbf55c3879141d42017014de6e5a674a

SHA256
2e210d0a010ed52828dc5746a32e1c8c3f8f2331be6776cbd0c719460840e869

SHA512
996ec25bcce5568088b29e0307f9e6c521c5ac438a14a79a877a2dff5c7d605c42a58e515c33e787894e1720cf5b87e1961980bffeb0b0d661ee369c7fa9df42

Download Submit
C:\Windows\System32\pVfeVli.exe

Filesize
1.7MB

MD5
c9569d1775ee19d11f818d8711e709aa

SHA1
6a379f58fa5cbb4fee0f49b440bf4a5cac95f1e9

SHA256
19b965b24422421eac865a14c6b258547a5de49e937c73809f65ad6cb4815873

SHA512
aee393ed4245f2bac2e98695b37de61a24f7421a7e65b27aaf3d419b5072da10507e30bc3bf4abd4c2d56c7cfb314c34ebcbc0bdb9aecfedf4ffd0a59523dfc8

Download Submit
C:\Windows\System32\rKmLjOu.exe

Filesize
1.7MB

MD5
48def8afc551da0a39c5662589b4ae1c

SHA1
a3d4bbad6b63a8eae3017d277f999960cd02c2e4

SHA256
6b66a18402bdd9cc0dbc7b5a0edebf2a6b005cb6cfbe79c0945dc7e2b49d59e3

SHA512
ce52a129562c6f7124addba4f0a4c2a0749e7d7bfe54c0e802cb6dfd3078e368f7b6fff16d96e9a4eac9198a53ecc115fb7b811b587106b9095f2a07a30e0c6c

Download Submit
C:\Windows\System32\rshraFk.exe

Filesize
1.7MB

MD5
e931f95a34a8667f70de8c4f1785ac8b

SHA1
d39e19df7fcebd27416d6dfabee0239c33a3ece2

SHA256
4782ff9015e7018043737d89095f2be671be77121f2d6df7fb1068f1b2b17ee1

SHA512
930e642d9717ae8e906588c016e0a25d9e79588ee2c2f0bcca384f08bce868e5ac10a9b8c957b575025e009a478c38294a1d68e973a8779e9abba047aaf670c6

Download Submit
C:\Windows\System32\tcexqwU.exe

Filesize
1.7MB

MD5
f4f4f3f5f5dc8bf14d23570a9070ccf1

SHA1
ad0a72e19b86bb3f314efc2ac7c79735a08f920b

SHA256
1a24644a5ebb1df97be47f0eb439e91cd7caf01673a31ccb98ee77adda8ebdc3

SHA512
41ad851c8f5304bf39ef34194d90154933d92927c48983e235f0e567e744b769e72124e0a8d861c1f7c80e92a0b536afe49415e691338bd3c0b564ea937497b3

Download Submit
C:\Windows\System32\weRvhTo.exe

Filesize
1.7MB

MD5
d7d8d561538378197ebae0a14f87d956

SHA1
020552e137d8ae7e85491f3e416fcc4be3dec40a

SHA256
c2e42624239e85a251f75dba1c2606d7f803d6f30d251ed0e23744585f4ab330

SHA512
7d83696a05c6aa5370545ffd1184c096ac0f281a583d4e8f3f3578961b5877caaeaab2c94dc2639d81b81b686d9d950a46b1d679a0773a6335b3eb425112e4d9

Download Submit
C:\Windows\System32\zroQIhU.exe

Filesize
1.7MB

MD5
f1af5fb8a60dd53d493dee8555267d11

SHA1
609d457bde6add20bbcbf26c3c1e30cf4922b736

SHA256
7b24435fb88040708f143795b1c0fc0cd08cf837e94777172f41d2649116f98f

SHA512
8fc1f315fd2b7bbecc9272cd72bb740e8d2558035631c9fa39078229a1ad59c090cfb2df994487326afdddde9f8ed53463cfa361973b2e62a91cadd4f63e2f62

Download Submit
memory/32-2025-0x00007FF6DA0A0000-0x00007FF6DA491000-memory.dmp

Filesize
3.9MB

Download
memory/32-390-0x00007FF6DA0A0000-0x00007FF6DA491000-memory.dmp

Filesize
3.9MB

Download
memory/1108-383-0x00007FF722350000-0x00007FF722741000-memory.dmp

Filesize
3.9MB

Download
memory/1108-2011-0x00007FF722350000-0x00007FF722741000-memory.dmp

Filesize
3.9MB

Download
memory/1156-386-0x00007FF60DA50000-0x00007FF60DE41000-memory.dmp

Filesize
3.9MB

Download
memory/1156-2019-0x00007FF60DA50000-0x00007FF60DE41000-memory.dmp

Filesize
3.9MB

Download
memory/1204-2023-0x00007FF666330000-0x00007FF666721000-memory.dmp

Filesize
3.9MB

Download
memory/1204-388-0x00007FF666330000-0x00007FF666721000-memory.dmp

Filesize
3.9MB

Download
memory/1448-2005-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp

Filesize
3.9MB

Download
memory/1448-1963-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp

Filesize
3.9MB

Download
memory/1448-21-0x00007FF64EDA0000-0x00007FF64F191000-memory.dmp

Filesize
3.9MB

Download
memory/1680-2033-0x00007FF6F2FF0000-0x00007FF6F33E1000-memory.dmp

Filesize
3.9MB

Download
memory/1680-393-0x00007FF6F2FF0000-0x00007FF6F33E1000-memory.dmp

Filesize
3.9MB

Download
memory/2208-391-0x00007FF668510000-0x00007FF668901000-memory.dmp

Filesize
3.9MB

Download
memory/2208-2029-0x00007FF668510000-0x00007FF668901000-memory.dmp

Filesize
3.9MB

Download
memory/2332-2039-0x00007FF678770000-0x00007FF678B61000-memory.dmp

Filesize
3.9MB

Download
memory/2332-408-0x00007FF678770000-0x00007FF678B61000-memory.dmp

Filesize
3.9MB

Download
memory/2728-426-0x00007FF6CF4E0000-0x00007FF6CF8D1000-memory.dmp

Filesize
3.9MB

Download
memory/2728-2043-0x00007FF6CF4E0000-0x00007FF6CF8D1000-memory.dmp

Filesize
3.9MB

Download
memory/3068-429-0x00007FF719700000-0x00007FF719AF1000-memory.dmp

Filesize
3.9MB

Download
memory/3068-2045-0x00007FF719700000-0x00007FF719AF1000-memory.dmp

Filesize
3.9MB

Download
memory/3140-396-0x00007FF6FFC60000-0x00007FF700051000-memory.dmp

Filesize
3.9MB

Download
memory/3140-2031-0x00007FF6FFC60000-0x00007FF700051000-memory.dmp

Filesize
3.9MB

Download
memory/3216-2003-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3216-12-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3216-1962-0x00007FF73D5E0000-0x00007FF73D9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3288-2009-0x00007FF644340000-0x00007FF644731000-memory.dmp

Filesize
3.9MB

Download
memory/3288-1996-0x00007FF644340000-0x00007FF644731000-memory.dmp

Filesize
3.9MB

Download
memory/3288-29-0x00007FF644340000-0x00007FF644731000-memory.dmp

Filesize
3.9MB

Download
memory/3476-2048-0x00007FF69FDF0000-0x00007FF6A01E1000-memory.dmp

Filesize
3.9MB

Download
memory/3476-432-0x00007FF69FDF0000-0x00007FF6A01E1000-memory.dmp

Filesize
3.9MB

Download
memory/3524-2041-0x00007FF6B1410000-0x00007FF6B1801000-memory.dmp

Filesize
3.9MB

Download
memory/3524-410-0x00007FF6B1410000-0x00007FF6B1801000-memory.dmp

Filesize
3.9MB

Download
memory/3800-385-0x00007FF7A4570000-0x00007FF7A4961000-memory.dmp

Filesize
3.9MB

Download
memory/3800-2015-0x00007FF7A4570000-0x00007FF7A4961000-memory.dmp

Filesize
3.9MB

Download
memory/3848-2037-0x00007FF6365B0000-0x00007FF6369A1000-memory.dmp

Filesize
3.9MB

Download
memory/3848-419-0x00007FF6365B0000-0x00007FF6369A1000-memory.dmp

Filesize
3.9MB

Download
memory/4044-2035-0x00007FF72B6E0000-0x00007FF72BAD1000-memory.dmp

Filesize
3.9MB

Download
memory/4044-399-0x00007FF72B6E0000-0x00007FF72BAD1000-memory.dmp

Filesize
3.9MB

Download
memory/4100-2160-0x00007FF723450000-0x00007FF723841000-memory.dmp

Filesize
3.9MB

Download
memory/4100-30-0x00007FF723450000-0x00007FF723841000-memory.dmp

Filesize
3.9MB

Download
memory/4100-1997-0x00007FF723450000-0x00007FF723841000-memory.dmp

Filesize
3.9MB

Download
memory/4244-387-0x00007FF67F790000-0x00007FF67FB81000-memory.dmp

Filesize
3.9MB

Download
memory/4244-2017-0x00007FF67F790000-0x00007FF67FB81000-memory.dmp

Filesize
3.9MB

Download
memory/4260-392-0x00007FF77F420000-0x00007FF77F811000-memory.dmp

Filesize
3.9MB

Download
memory/4260-2021-0x00007FF77F420000-0x00007FF77F811000-memory.dmp

Filesize
3.9MB

Download
memory/4332-384-0x00007FF67DB40000-0x00007FF67DF31000-memory.dmp

Filesize
3.9MB

Download
memory/4332-2013-0x00007FF67DB40000-0x00007FF67DF31000-memory.dmp

Filesize
3.9MB

Download
memory/4488-2007-0x00007FF6CC070000-0x00007FF6CC461000-memory.dmp

Filesize
3.9MB

Download
memory/4488-26-0x00007FF6CC070000-0x00007FF6CC461000-memory.dmp

Filesize
3.9MB

Download
memory/4672-0-0x00007FF6FF7C0000-0x00007FF6FFBB1000-memory.dmp

Filesize
3.9MB

Download
memory/4672-1-0x0000020F2DB50000-0x0000020F2DB60000-memory.dmp

Filesize
64KB

Download
memory/5100-2027-0x00007FF7403C0000-0x00007FF7407B1000-memory.dmp

Filesize
3.9MB

Download
memory/5100-389-0x00007FF7403C0000-0x00007FF7407B1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads