xmrig | efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b

Analysis

max time kernel
116s
max time network
118s
platform
windows10-2004_x64
resource
win10v2004-20240730-en
resource tags

arch:x64arch:x86image:win10v2004-20240730-enlocale:en-usos:windows10-2004-x64system
submitted
02-08-2024 06:47

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
Size

1.2MB
MD5

0cc88caf3fabb5a20e70fd221dbfb676
SHA1

e0da7b8d1e1afda445df09d1045314eb2e83e0ed
SHA256

efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b
SHA512

dd5afdb5d29c032dd6f548da147c830892fc82c9fd35e4ff5665159d9c7b247c3bc86fddafdd812c97de176dc7c52dc5f1766c2fd9ba93560f0a0c29d222c1b1
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XIHbAYhbcjRTs5JHHjX:knw9oUUEEDlGUJ8Y9cu

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/748-63-0x00007FF69D840000-0x00007FF69DC31000-memory.dmp	xmrig
behavioral2/memory/1160-267-0x00007FF6142D0000-0x00007FF6146C1000-memory.dmp	xmrig
behavioral2/memory/3604-265-0x00007FF76EC00000-0x00007FF76EFF1000-memory.dmp	xmrig
behavioral2/memory/3020-287-0x00007FF7D5A70000-0x00007FF7D5E61000-memory.dmp	xmrig
behavioral2/memory/3468-288-0x00007FF7D1FB0000-0x00007FF7D23A1000-memory.dmp	xmrig
behavioral2/memory/3880-291-0x00007FF6D7EA0000-0x00007FF6D8291000-memory.dmp	xmrig
behavioral2/memory/2584-293-0x00007FF718460000-0x00007FF718851000-memory.dmp	xmrig
behavioral2/memory/3704-292-0x00007FF75B700000-0x00007FF75BAF1000-memory.dmp	xmrig
behavioral2/memory/3516-290-0x00007FF72BC80000-0x00007FF72C071000-memory.dmp	xmrig
behavioral2/memory/4076-286-0x00007FF6AA290000-0x00007FF6AA681000-memory.dmp	xmrig
behavioral2/memory/4888-285-0x00007FF71E960000-0x00007FF71ED51000-memory.dmp	xmrig
behavioral2/memory/4560-283-0x00007FF70B320000-0x00007FF70B711000-memory.dmp	xmrig
behavioral2/memory/1080-275-0x00007FF72F670000-0x00007FF72FA61000-memory.dmp	xmrig
behavioral2/memory/3204-1986-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp	xmrig
behavioral2/memory/864-1987-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp	xmrig
behavioral2/memory/372-1988-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp	xmrig
behavioral2/memory/2244-1990-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp	xmrig
behavioral2/memory/3956-1989-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp	xmrig
behavioral2/memory/3832-1992-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp	xmrig
behavioral2/memory/3844-1991-0x00007FF709700000-0x00007FF709AF1000-memory.dmp	xmrig
behavioral2/memory/4332-1994-0x00007FF77A2B0000-0x00007FF77A6A1000-memory.dmp	xmrig
behavioral2/memory/2576-1996-0x00007FF77D430000-0x00007FF77D821000-memory.dmp	xmrig
behavioral2/memory/3172-1998-0x00007FF6B61E0000-0x00007FF6B65D1000-memory.dmp	xmrig
behavioral2/memory/3428-2030-0x00007FF63D6F0000-0x00007FF63DAE1000-memory.dmp	xmrig
behavioral2/memory/988-2047-0x00007FF680540000-0x00007FF680931000-memory.dmp	xmrig
behavioral2/memory/3204-2049-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp	xmrig
behavioral2/memory/372-2053-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp	xmrig
behavioral2/memory/3956-2051-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp	xmrig
behavioral2/memory/864-2057-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp	xmrig
behavioral2/memory/748-2063-0x00007FF69D840000-0x00007FF69DC31000-memory.dmp	xmrig
behavioral2/memory/3832-2059-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp	xmrig
behavioral2/memory/2244-2055-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp	xmrig
behavioral2/memory/3844-2061-0x00007FF709700000-0x00007FF709AF1000-memory.dmp	xmrig
behavioral2/memory/2576-2067-0x00007FF77D430000-0x00007FF77D821000-memory.dmp	xmrig
behavioral2/memory/3428-2069-0x00007FF63D6F0000-0x00007FF63DAE1000-memory.dmp	xmrig
behavioral2/memory/4332-2065-0x00007FF77A2B0000-0x00007FF77A6A1000-memory.dmp	xmrig
behavioral2/memory/4560-2079-0x00007FF70B320000-0x00007FF70B711000-memory.dmp	xmrig
behavioral2/memory/2584-2093-0x00007FF718460000-0x00007FF718851000-memory.dmp	xmrig
behavioral2/memory/3468-2089-0x00007FF7D1FB0000-0x00007FF7D23A1000-memory.dmp	xmrig
behavioral2/memory/3516-2087-0x00007FF72BC80000-0x00007FF72C071000-memory.dmp	xmrig
behavioral2/memory/3880-2085-0x00007FF6D7EA0000-0x00007FF6D8291000-memory.dmp	xmrig
behavioral2/memory/4076-2091-0x00007FF6AA290000-0x00007FF6AA681000-memory.dmp	xmrig
behavioral2/memory/4888-2083-0x00007FF71E960000-0x00007FF71ED51000-memory.dmp	xmrig
behavioral2/memory/3020-2077-0x00007FF7D5A70000-0x00007FF7D5E61000-memory.dmp	xmrig
behavioral2/memory/3704-2081-0x00007FF75B700000-0x00007FF75BAF1000-memory.dmp	xmrig
behavioral2/memory/3604-2073-0x00007FF76EC00000-0x00007FF76EFF1000-memory.dmp	xmrig
behavioral2/memory/1160-2075-0x00007FF6142D0000-0x00007FF6146C1000-memory.dmp	xmrig
behavioral2/memory/1080-2071-0x00007FF72F670000-0x00007FF72FA61000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
988	eNHeUhM.exe
3204	NflkgRF.exe
372	zRAKnvP.exe
3956	zHcclzE.exe
864	ebleZFQ.exe
2244	zgHZqgr.exe
748	eQjggqm.exe
3844	NsEYPiU.exe
4332	SvUZCWP.exe
3832	FUaInFE.exe
2576	WTYqEBl.exe
3428	DNgVXMX.exe
3604	EPMKlBX.exe
1160	uuWsxov.exe
1080	wKMBLZB.exe
4560	HhRRnxu.exe
4888	LVBqVCh.exe
4076	rrDOkvs.exe
3020	wTTkBKe.exe
3468	stiuUcs.exe
3516	lXhKPgY.exe
3880	eJiWWMB.exe
3704	XcNLAPo.exe
2584	tNoAlqX.exe
400	XYBghpW.exe
4516	FxFGxVz.exe
2956	aVRhUzn.exe
640	wrosMpZ.exe
1940	vjMQATU.exe
1560	FcWKPdH.exe
1892	vmVkriY.exe
1856	eqjMVAI.exe
4848	vUwmncj.exe
4920	iTlVxAG.exe
3952	qcZpyDA.exe
4472	NBwRjQa.exe
2772	rJsJbtv.exe
4380	QotqNnJ.exe
4336	wYUJCnM.exe
1788	uLfYLuZ.exe
904	PCLfzBZ.exe
4628	xHBFpMB.exe
3092	VMHfEPu.exe
4868	bfyMtXv.exe
4256	dZdltKC.exe
2188	HCkOMPQ.exe
3632	bZZSGTX.exe
5096	CnfgXRR.exe
1288	TXDKwfK.exe
1840	ZgVxdcz.exe
2400	VQLTwJe.exe
4916	zoUPIuZ.exe
4948	kJDoyNS.exe
1172	FQiThYQ.exe
3780	urKgeFe.exe
3660	vQwLNUW.exe
4268	vemgcDK.exe
4856	fwCVrkO.exe
2504	DayshNb.exe
872	veHeArX.exe
4844	FXbLkSR.exe
4056	sfAspAl.exe
3056	JkrMgww.exe
1240	zUkhVdG.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/3172-0-0x00007FF6B61E0000-0x00007FF6B65D1000-memory.dmp	upx
behavioral2/files/0x00090000000233f3-4.dat	upx
behavioral2/files/0x0007000000023451-8.dat	upx
behavioral2/files/0x0008000000023450-9.dat	upx
behavioral2/files/0x0007000000023452-18.dat	upx
behavioral2/files/0x0007000000023453-25.dat	upx
behavioral2/files/0x0007000000023454-28.dat	upx
behavioral2/memory/864-34-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp	upx
behavioral2/files/0x0007000000023457-47.dat	upx
behavioral2/files/0x0007000000023456-52.dat	upx
behavioral2/files/0x0007000000023455-51.dat	upx
behavioral2/memory/3832-59-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp	upx
behavioral2/memory/748-63-0x00007FF69D840000-0x00007FF69DC31000-memory.dmp	upx
behavioral2/files/0x0007000000023459-70.dat	upx
behavioral2/files/0x000700000002345a-67.dat	upx
behavioral2/files/0x000700000002345c-83.dat	upx
behavioral2/files/0x0007000000023461-104.dat	upx
behavioral2/files/0x0007000000023462-116.dat	upx
behavioral2/files/0x0007000000023467-136.dat	upx
behavioral2/files/0x0007000000023468-146.dat	upx
behavioral2/files/0x000700000002346a-153.dat	upx
behavioral2/files/0x000700000002346d-171.dat	upx
behavioral2/memory/1160-267-0x00007FF6142D0000-0x00007FF6146C1000-memory.dmp	upx
behavioral2/memory/3604-265-0x00007FF76EC00000-0x00007FF76EFF1000-memory.dmp	upx
behavioral2/memory/3020-287-0x00007FF7D5A70000-0x00007FF7D5E61000-memory.dmp	upx
behavioral2/memory/3468-288-0x00007FF7D1FB0000-0x00007FF7D23A1000-memory.dmp	upx
behavioral2/memory/3880-291-0x00007FF6D7EA0000-0x00007FF6D8291000-memory.dmp	upx
behavioral2/memory/2584-293-0x00007FF718460000-0x00007FF718851000-memory.dmp	upx
behavioral2/memory/3704-292-0x00007FF75B700000-0x00007FF75BAF1000-memory.dmp	upx
behavioral2/memory/3516-290-0x00007FF72BC80000-0x00007FF72C071000-memory.dmp	upx
behavioral2/memory/4076-286-0x00007FF6AA290000-0x00007FF6AA681000-memory.dmp	upx
behavioral2/memory/4888-285-0x00007FF71E960000-0x00007FF71ED51000-memory.dmp	upx
behavioral2/memory/4560-283-0x00007FF70B320000-0x00007FF70B711000-memory.dmp	upx
behavioral2/memory/1080-275-0x00007FF72F670000-0x00007FF72FA61000-memory.dmp	upx
behavioral2/files/0x000700000002346f-174.dat	upx
behavioral2/files/0x000700000002346e-169.dat	upx
behavioral2/files/0x000700000002346c-163.dat	upx
behavioral2/files/0x000700000002346b-158.dat	upx
behavioral2/files/0x0007000000023469-151.dat	upx
behavioral2/files/0x0007000000023466-133.dat	upx
behavioral2/files/0x0007000000023465-131.dat	upx
behavioral2/files/0x0007000000023464-126.dat	upx
behavioral2/files/0x0007000000023463-121.dat	upx
behavioral2/files/0x0007000000023460-106.dat	upx
behavioral2/files/0x000700000002345f-101.dat	upx
behavioral2/files/0x000700000002345e-96.dat	upx
behavioral2/files/0x000700000002345d-91.dat	upx
behavioral2/files/0x000700000002345b-78.dat	upx
behavioral2/memory/3428-73-0x00007FF63D6F0000-0x00007FF63DAE1000-memory.dmp	upx
behavioral2/memory/2576-66-0x00007FF77D430000-0x00007FF77D821000-memory.dmp	upx
behavioral2/memory/4332-64-0x00007FF77A2B0000-0x00007FF77A6A1000-memory.dmp	upx
behavioral2/files/0x0007000000023458-60.dat	upx
behavioral2/memory/3844-56-0x00007FF709700000-0x00007FF709AF1000-memory.dmp	upx
behavioral2/memory/2244-42-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp	upx
behavioral2/memory/3956-27-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp	upx
behavioral2/memory/372-26-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp	upx
behavioral2/memory/3204-16-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp	upx
behavioral2/memory/988-15-0x00007FF680540000-0x00007FF680931000-memory.dmp	upx
behavioral2/memory/3204-1986-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp	upx
behavioral2/memory/864-1987-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp	upx
behavioral2/memory/372-1988-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp	upx
behavioral2/memory/2244-1990-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp	upx
behavioral2/memory/3956-1989-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp	upx
behavioral2/memory/3832-1992-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\sfAAAPb.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\jRGxHjP.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\MSVTcsJ.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\MxKmdBI.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\iMgIsNx.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\vjMQATU.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\NQoAXQO.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\rchFmAA.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\VMATTNt.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\ZeReNlm.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\DffnMgj.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\TXDKwfK.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\tutGTvf.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\UNfJYIl.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\PtEjQLn.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\kzrOEbp.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\XacDvnE.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\tYiHWCe.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\xdXpGEE.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\mhpeDLn.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\qEIIddi.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\pAIqnVk.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\KhhkxSn.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\VIeDPHl.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\hKiBdeb.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\dqeUWFg.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\bYMSgEw.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\IbSJCBC.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\sCHHpow.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\dUMHrar.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\kazXVGK.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\jPakmey.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\NrxXLkQ.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\QRfaVcB.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\DHjvfWD.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\HQWBneP.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\CEkmHhQ.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\CptNqPJ.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\JpLEzjr.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\fKVjcOP.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\vIndIZv.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\hzfiCKb.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\YbNeQIy.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\AHahcEJ.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\NJmhNhI.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\NBwRjQa.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\XUUVoJP.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\eNbHPGy.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\PSWloLy.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\joRVqkH.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\urKgeFe.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\JpuFiWN.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\NEqpOYq.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\xHNOBAs.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\YcBlMmU.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\KDVgAfg.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\jMtJNOY.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\CnfgXRR.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\izibpPZ.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\JeGHJmg.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\EqIwEKL.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\OFsapAb.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\hDumPrf.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
File created	C:\Windows\System32\nhKWuty.exe	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13284	dwm.exe
Token: SeChangeNotifyPrivilege	13284	dwm.exe
Token: 33	13284	dwm.exe
Token: SeIncBasePriorityPrivilege	13284	dwm.exe
Token: SeShutdownPrivilege	13284	dwm.exe
Token: SeCreatePagefilePrivilege	13284	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3172 wrote to memory of 988	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	84
PID 3172 wrote to memory of 988	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	84
PID 3172 wrote to memory of 3204	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	85
PID 3172 wrote to memory of 3204	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	85
PID 3172 wrote to memory of 372	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	86
PID 3172 wrote to memory of 372	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	86
PID 3172 wrote to memory of 3956	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	87
PID 3172 wrote to memory of 3956	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	87
PID 3172 wrote to memory of 864	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	88
PID 3172 wrote to memory of 864	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	88
PID 3172 wrote to memory of 2244	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	89
PID 3172 wrote to memory of 2244	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	89
PID 3172 wrote to memory of 748	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	90
PID 3172 wrote to memory of 748	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	90
PID 3172 wrote to memory of 3844	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	91
PID 3172 wrote to memory of 3844	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	91
PID 3172 wrote to memory of 4332	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	92
PID 3172 wrote to memory of 4332	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	92
PID 3172 wrote to memory of 3832	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	93
PID 3172 wrote to memory of 3832	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	93
PID 3172 wrote to memory of 2576	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	94
PID 3172 wrote to memory of 2576	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	94
PID 3172 wrote to memory of 3428	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	95
PID 3172 wrote to memory of 3428	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	95
PID 3172 wrote to memory of 3604	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	96
PID 3172 wrote to memory of 3604	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	96
PID 3172 wrote to memory of 1160	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	97
PID 3172 wrote to memory of 1160	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	97
PID 3172 wrote to memory of 1080	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	98
PID 3172 wrote to memory of 1080	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	98
PID 3172 wrote to memory of 4560	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	99
PID 3172 wrote to memory of 4560	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	99
PID 3172 wrote to memory of 4888	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	100
PID 3172 wrote to memory of 4888	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	100
PID 3172 wrote to memory of 4076	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	101
PID 3172 wrote to memory of 4076	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	101
PID 3172 wrote to memory of 3020	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	102
PID 3172 wrote to memory of 3020	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	102
PID 3172 wrote to memory of 3468	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	103
PID 3172 wrote to memory of 3468	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	103
PID 3172 wrote to memory of 3516	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	104
PID 3172 wrote to memory of 3516	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	104
PID 3172 wrote to memory of 3880	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	105
PID 3172 wrote to memory of 3880	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	105
PID 3172 wrote to memory of 3704	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	106
PID 3172 wrote to memory of 3704	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	106
PID 3172 wrote to memory of 2584	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	107
PID 3172 wrote to memory of 2584	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	107
PID 3172 wrote to memory of 400	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	108
PID 3172 wrote to memory of 400	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	108
PID 3172 wrote to memory of 4516	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	109
PID 3172 wrote to memory of 4516	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	109
PID 3172 wrote to memory of 2956	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	110
PID 3172 wrote to memory of 2956	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	110
PID 3172 wrote to memory of 640	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	111
PID 3172 wrote to memory of 640	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	111
PID 3172 wrote to memory of 1940	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	112
PID 3172 wrote to memory of 1940	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	112
PID 3172 wrote to memory of 1560	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	113
PID 3172 wrote to memory of 1560	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	113
PID 3172 wrote to memory of 1892	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	114
PID 3172 wrote to memory of 1892	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	114
PID 3172 wrote to memory of 1856	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	115
PID 3172 wrote to memory of 1856	3172	efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe	115

C:\Users\Admin\AppData\Local\Temp\efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe
"C:\Users\Admin\AppData\Local\Temp\efde242329c05f792d7c2ba88b730adf4bf405d62a3798ad3b3ac1545e08b20b.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3172
- C:\Windows\System32\eNHeUhM.exe
  C:\Windows\System32\eNHeUhM.exe
  2⤵
  - Executes dropped EXE
  PID:988
- C:\Windows\System32\NflkgRF.exe
  C:\Windows\System32\NflkgRF.exe
  2⤵
  - Executes dropped EXE
  PID:3204
- C:\Windows\System32\zRAKnvP.exe
  C:\Windows\System32\zRAKnvP.exe
  2⤵
  - Executes dropped EXE
  PID:372
- C:\Windows\System32\zHcclzE.exe
  C:\Windows\System32\zHcclzE.exe
  2⤵
  - Executes dropped EXE
  PID:3956
- C:\Windows\System32\ebleZFQ.exe
  C:\Windows\System32\ebleZFQ.exe
  2⤵
  - Executes dropped EXE
  PID:864
- C:\Windows\System32\zgHZqgr.exe
  C:\Windows\System32\zgHZqgr.exe
  2⤵
  - Executes dropped EXE
  PID:2244
- C:\Windows\System32\eQjggqm.exe
  C:\Windows\System32\eQjggqm.exe
  2⤵
  - Executes dropped EXE
  PID:748
- C:\Windows\System32\NsEYPiU.exe
  C:\Windows\System32\NsEYPiU.exe
  2⤵
  - Executes dropped EXE
  PID:3844
- C:\Windows\System32\SvUZCWP.exe
  C:\Windows\System32\SvUZCWP.exe
  2⤵
  - Executes dropped EXE
  PID:4332
- C:\Windows\System32\FUaInFE.exe
  C:\Windows\System32\FUaInFE.exe
  2⤵
  - Executes dropped EXE
  PID:3832
- C:\Windows\System32\WTYqEBl.exe
  C:\Windows\System32\WTYqEBl.exe
  2⤵
  - Executes dropped EXE
  PID:2576
- C:\Windows\System32\DNgVXMX.exe
  C:\Windows\System32\DNgVXMX.exe
  2⤵
  - Executes dropped EXE
  PID:3428
- C:\Windows\System32\EPMKlBX.exe
  C:\Windows\System32\EPMKlBX.exe
  2⤵
  - Executes dropped EXE
  PID:3604
- C:\Windows\System32\uuWsxov.exe
  C:\Windows\System32\uuWsxov.exe
  2⤵
  - Executes dropped EXE
  PID:1160
- C:\Windows\System32\wKMBLZB.exe
  C:\Windows\System32\wKMBLZB.exe
  2⤵
  - Executes dropped EXE
  PID:1080
- C:\Windows\System32\HhRRnxu.exe
  C:\Windows\System32\HhRRnxu.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\LVBqVCh.exe
  C:\Windows\System32\LVBqVCh.exe
  2⤵
  - Executes dropped EXE
  PID:4888
- C:\Windows\System32\rrDOkvs.exe
  C:\Windows\System32\rrDOkvs.exe
  2⤵
  - Executes dropped EXE
  PID:4076
- C:\Windows\System32\wTTkBKe.exe
  C:\Windows\System32\wTTkBKe.exe
  2⤵
  - Executes dropped EXE
  PID:3020
- C:\Windows\System32\stiuUcs.exe
  C:\Windows\System32\stiuUcs.exe
  2⤵
  - Executes dropped EXE
  PID:3468
- C:\Windows\System32\lXhKPgY.exe
  C:\Windows\System32\lXhKPgY.exe
  2⤵
  - Executes dropped EXE
  PID:3516
- C:\Windows\System32\eJiWWMB.exe
  C:\Windows\System32\eJiWWMB.exe
  2⤵
  - Executes dropped EXE
  PID:3880
- C:\Windows\System32\XcNLAPo.exe
  C:\Windows\System32\XcNLAPo.exe
  2⤵
  - Executes dropped EXE
  PID:3704
- C:\Windows\System32\tNoAlqX.exe
  C:\Windows\System32\tNoAlqX.exe
  2⤵
  - Executes dropped EXE
  PID:2584
- C:\Windows\System32\XYBghpW.exe
  C:\Windows\System32\XYBghpW.exe
  2⤵
  - Executes dropped EXE
  PID:400
- C:\Windows\System32\FxFGxVz.exe
  C:\Windows\System32\FxFGxVz.exe
  2⤵
  - Executes dropped EXE
  PID:4516
- C:\Windows\System32\aVRhUzn.exe
  C:\Windows\System32\aVRhUzn.exe
  2⤵
  - Executes dropped EXE
  PID:2956
- C:\Windows\System32\wrosMpZ.exe
  C:\Windows\System32\wrosMpZ.exe
  2⤵
  - Executes dropped EXE
  PID:640
- C:\Windows\System32\vjMQATU.exe
  C:\Windows\System32\vjMQATU.exe
  2⤵
  - Executes dropped EXE
  PID:1940
- C:\Windows\System32\FcWKPdH.exe
  C:\Windows\System32\FcWKPdH.exe
  2⤵
  - Executes dropped EXE
  PID:1560
- C:\Windows\System32\vmVkriY.exe
  C:\Windows\System32\vmVkriY.exe
  2⤵
  - Executes dropped EXE
  PID:1892
- C:\Windows\System32\eqjMVAI.exe
  C:\Windows\System32\eqjMVAI.exe
  2⤵
  - Executes dropped EXE
  PID:1856
- C:\Windows\System32\vUwmncj.exe
  C:\Windows\System32\vUwmncj.exe
  2⤵
  - Executes dropped EXE
  PID:4848
- C:\Windows\System32\iTlVxAG.exe
  C:\Windows\System32\iTlVxAG.exe
  2⤵
  - Executes dropped EXE
  PID:4920
- C:\Windows\System32\qcZpyDA.exe
  C:\Windows\System32\qcZpyDA.exe
  2⤵
  - Executes dropped EXE
  PID:3952
- C:\Windows\System32\NBwRjQa.exe
  C:\Windows\System32\NBwRjQa.exe
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Windows\System32\rJsJbtv.exe
  C:\Windows\System32\rJsJbtv.exe
  2⤵
  - Executes dropped EXE
  PID:2772
- C:\Windows\System32\QotqNnJ.exe
  C:\Windows\System32\QotqNnJ.exe
  2⤵
  - Executes dropped EXE
  PID:4380
- C:\Windows\System32\wYUJCnM.exe
  C:\Windows\System32\wYUJCnM.exe
  2⤵
  - Executes dropped EXE
  PID:4336
- C:\Windows\System32\uLfYLuZ.exe
  C:\Windows\System32\uLfYLuZ.exe
  2⤵
  - Executes dropped EXE
  PID:1788
- C:\Windows\System32\PCLfzBZ.exe
  C:\Windows\System32\PCLfzBZ.exe
  2⤵
  - Executes dropped EXE
  PID:904
- C:\Windows\System32\xHBFpMB.exe
  C:\Windows\System32\xHBFpMB.exe
  2⤵
  - Executes dropped EXE
  PID:4628
- C:\Windows\System32\VMHfEPu.exe
  C:\Windows\System32\VMHfEPu.exe
  2⤵
  - Executes dropped EXE
  PID:3092
- C:\Windows\System32\bfyMtXv.exe
  C:\Windows\System32\bfyMtXv.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\dZdltKC.exe
  C:\Windows\System32\dZdltKC.exe
  2⤵
  - Executes dropped EXE
  PID:4256
- C:\Windows\System32\HCkOMPQ.exe
  C:\Windows\System32\HCkOMPQ.exe
  2⤵
  - Executes dropped EXE
  PID:2188
- C:\Windows\System32\bZZSGTX.exe
  C:\Windows\System32\bZZSGTX.exe
  2⤵
  - Executes dropped EXE
  PID:3632
- C:\Windows\System32\CnfgXRR.exe
  C:\Windows\System32\CnfgXRR.exe
  2⤵
  - Executes dropped EXE
  PID:5096
- C:\Windows\System32\TXDKwfK.exe
  C:\Windows\System32\TXDKwfK.exe
  2⤵
  - Executes dropped EXE
  PID:1288
- C:\Windows\System32\ZgVxdcz.exe
  C:\Windows\System32\ZgVxdcz.exe
  2⤵
  - Executes dropped EXE
  PID:1840
- C:\Windows\System32\VQLTwJe.exe
  C:\Windows\System32\VQLTwJe.exe
  2⤵
  - Executes dropped EXE
  PID:2400
- C:\Windows\System32\zoUPIuZ.exe
  C:\Windows\System32\zoUPIuZ.exe
  2⤵
  - Executes dropped EXE
  PID:4916
- C:\Windows\System32\kJDoyNS.exe
  C:\Windows\System32\kJDoyNS.exe
  2⤵
  - Executes dropped EXE
  PID:4948
- C:\Windows\System32\FQiThYQ.exe
  C:\Windows\System32\FQiThYQ.exe
  2⤵
  - Executes dropped EXE
  PID:1172
- C:\Windows\System32\urKgeFe.exe
  C:\Windows\System32\urKgeFe.exe
  2⤵
  - Executes dropped EXE
  PID:3780
- C:\Windows\System32\vQwLNUW.exe
  C:\Windows\System32\vQwLNUW.exe
  2⤵
  - Executes dropped EXE
  PID:3660
- C:\Windows\System32\vemgcDK.exe
  C:\Windows\System32\vemgcDK.exe
  2⤵
  - Executes dropped EXE
  PID:4268
- C:\Windows\System32\fwCVrkO.exe
  C:\Windows\System32\fwCVrkO.exe
  2⤵
  - Executes dropped EXE
  PID:4856
- C:\Windows\System32\DayshNb.exe
  C:\Windows\System32\DayshNb.exe
  2⤵
  - Executes dropped EXE
  PID:2504
- C:\Windows\System32\veHeArX.exe
  C:\Windows\System32\veHeArX.exe
  2⤵
  - Executes dropped EXE
  PID:872
- C:\Windows\System32\FXbLkSR.exe
  C:\Windows\System32\FXbLkSR.exe
  2⤵
  - Executes dropped EXE
  PID:4844
- C:\Windows\System32\sfAspAl.exe
  C:\Windows\System32\sfAspAl.exe
  2⤵
  - Executes dropped EXE
  PID:4056
- C:\Windows\System32\JkrMgww.exe
  C:\Windows\System32\JkrMgww.exe
  2⤵
  - Executes dropped EXE
  PID:3056
- C:\Windows\System32\zUkhVdG.exe
  C:\Windows\System32\zUkhVdG.exe
  2⤵
  - Executes dropped EXE
  PID:1240
- C:\Windows\System32\fKVjcOP.exe
  C:\Windows\System32\fKVjcOP.exe
  2⤵
  PID:4960
- C:\Windows\System32\TWOYjMQ.exe
  C:\Windows\System32\TWOYjMQ.exe
  2⤵
  PID:2336
- C:\Windows\System32\waSYRnu.exe
  C:\Windows\System32\waSYRnu.exe
  2⤵
  PID:3884
- C:\Windows\System32\mAQnsyl.exe
  C:\Windows\System32\mAQnsyl.exe
  2⤵
  PID:2744
- C:\Windows\System32\hxjisIG.exe
  C:\Windows\System32\hxjisIG.exe
  2⤵
  PID:3340
- C:\Windows\System32\KfoUbaf.exe
  C:\Windows\System32\KfoUbaf.exe
  2⤵
  PID:2712
- C:\Windows\System32\bnTFHMO.exe
  C:\Windows\System32\bnTFHMO.exe
  2⤵
  PID:3964
- C:\Windows\System32\QCkhBiW.exe
  C:\Windows\System32\QCkhBiW.exe
  2⤵
  PID:3456
- C:\Windows\System32\UDsmVfE.exe
  C:\Windows\System32\UDsmVfE.exe
  2⤵
  PID:4192
- C:\Windows\System32\ZeFroAo.exe
  C:\Windows\System32\ZeFroAo.exe
  2⤵
  PID:4276
- C:\Windows\System32\jnRPEJf.exe
  C:\Windows\System32\jnRPEJf.exe
  2⤵
  PID:32
- C:\Windows\System32\tYiHWCe.exe
  C:\Windows\System32\tYiHWCe.exe
  2⤵
  PID:3336
- C:\Windows\System32\tKzHqLu.exe
  C:\Windows\System32\tKzHqLu.exe
  2⤵
  PID:3900
- C:\Windows\System32\IOrOrMn.exe
  C:\Windows\System32\IOrOrMn.exe
  2⤵
  PID:3556
- C:\Windows\System32\fdrRvlw.exe
  C:\Windows\System32\fdrRvlw.exe
  2⤵
  PID:1556
- C:\Windows\System32\VIeDPHl.exe
  C:\Windows\System32\VIeDPHl.exe
  2⤵
  PID:2408
- C:\Windows\System32\zrQEpLO.exe
  C:\Windows\System32\zrQEpLO.exe
  2⤵
  PID:4624
- C:\Windows\System32\pdedAEU.exe
  C:\Windows\System32\pdedAEU.exe
  2⤵
  PID:4232
- C:\Windows\System32\AKVXByd.exe
  C:\Windows\System32\AKVXByd.exe
  2⤵
  PID:4244
- C:\Windows\System32\StAnFUE.exe
  C:\Windows\System32\StAnFUE.exe
  2⤵
  PID:4520
- C:\Windows\System32\ifnhWYO.exe
  C:\Windows\System32\ifnhWYO.exe
  2⤵
  PID:3228
- C:\Windows\System32\BEojGti.exe
  C:\Windows\System32\BEojGti.exe
  2⤵
  PID:2276
- C:\Windows\System32\osHSwae.exe
  C:\Windows\System32\osHSwae.exe
  2⤵
  PID:548
- C:\Windows\System32\AmZhwYn.exe
  C:\Windows\System32\AmZhwYn.exe
  2⤵
  PID:632
- C:\Windows\System32\pWmkFKx.exe
  C:\Windows\System32\pWmkFKx.exe
  2⤵
  PID:1804
- C:\Windows\System32\KUrKnni.exe
  C:\Windows\System32\KUrKnni.exe
  2⤵
  PID:4196
- C:\Windows\System32\EWhbeat.exe
  C:\Windows\System32\EWhbeat.exe
  2⤵
  PID:4324
- C:\Windows\System32\KzYQpUf.exe
  C:\Windows\System32\KzYQpUf.exe
  2⤵
  PID:3860
- C:\Windows\System32\ZHRSGMR.exe
  C:\Windows\System32\ZHRSGMR.exe
  2⤵
  PID:4828
- C:\Windows\System32\wSiWmaG.exe
  C:\Windows\System32\wSiWmaG.exe
  2⤵
  PID:1792
- C:\Windows\System32\mNpVrFs.exe
  C:\Windows\System32\mNpVrFs.exe
  2⤵
  PID:1512
- C:\Windows\System32\XcQEPLE.exe
  C:\Windows\System32\XcQEPLE.exe
  2⤵
  PID:3184
- C:\Windows\System32\SRyoVSb.exe
  C:\Windows\System32\SRyoVSb.exe
  2⤵
  PID:3120
- C:\Windows\System32\CnDeocq.exe
  C:\Windows\System32\CnDeocq.exe
  2⤵
  PID:3452
- C:\Windows\System32\xuQxDJF.exe
  C:\Windows\System32\xuQxDJF.exe
  2⤵
  PID:2072
- C:\Windows\System32\amfsMYQ.exe
  C:\Windows\System32\amfsMYQ.exe
  2⤵
  PID:2508
- C:\Windows\System32\FahIcAQ.exe
  C:\Windows\System32\FahIcAQ.exe
  2⤵
  PID:1832
- C:\Windows\System32\gqXysSe.exe
  C:\Windows\System32\gqXysSe.exe
  2⤵
  PID:808
- C:\Windows\System32\kkJtqwP.exe
  C:\Windows\System32\kkJtqwP.exe
  2⤵
  PID:452
- C:\Windows\System32\LOPGFMp.exe
  C:\Windows\System32\LOPGFMp.exe
  2⤵
  PID:5148
- C:\Windows\System32\kQBGiZQ.exe
  C:\Windows\System32\kQBGiZQ.exe
  2⤵
  PID:5172
- C:\Windows\System32\NFWoDbp.exe
  C:\Windows\System32\NFWoDbp.exe
  2⤵
  PID:5212
- C:\Windows\System32\PIvcODw.exe
  C:\Windows\System32\PIvcODw.exe
  2⤵
  PID:5252
- C:\Windows\System32\gAJtxMx.exe
  C:\Windows\System32\gAJtxMx.exe
  2⤵
  PID:5276
- C:\Windows\System32\hKiBdeb.exe
  C:\Windows\System32\hKiBdeb.exe
  2⤵
  PID:5296
- C:\Windows\System32\dUMHrar.exe
  C:\Windows\System32\dUMHrar.exe
  2⤵
  PID:5316
- C:\Windows\System32\cPgSpPb.exe
  C:\Windows\System32\cPgSpPb.exe
  2⤵
  PID:5340
- C:\Windows\System32\shWCzns.exe
  C:\Windows\System32\shWCzns.exe
  2⤵
  PID:5376
- C:\Windows\System32\xdXpGEE.exe
  C:\Windows\System32\xdXpGEE.exe
  2⤵
  PID:5392
- C:\Windows\System32\NjBecih.exe
  C:\Windows\System32\NjBecih.exe
  2⤵
  PID:5408
- C:\Windows\System32\jgBAgvD.exe
  C:\Windows\System32\jgBAgvD.exe
  2⤵
  PID:5436
- C:\Windows\System32\pkiZXvW.exe
  C:\Windows\System32\pkiZXvW.exe
  2⤵
  PID:5460
- C:\Windows\System32\pUUuGZc.exe
  C:\Windows\System32\pUUuGZc.exe
  2⤵
  PID:5508
- C:\Windows\System32\FbMksvC.exe
  C:\Windows\System32\FbMksvC.exe
  2⤵
  PID:5524
- C:\Windows\System32\mhpeDLn.exe
  C:\Windows\System32\mhpeDLn.exe
  2⤵
  PID:5552
- C:\Windows\System32\MrWyfos.exe
  C:\Windows\System32\MrWyfos.exe
  2⤵
  PID:5572
- C:\Windows\System32\ZpdGgjo.exe
  C:\Windows\System32\ZpdGgjo.exe
  2⤵
  PID:5600
- C:\Windows\System32\JpuFiWN.exe
  C:\Windows\System32\JpuFiWN.exe
  2⤵
  PID:5644
- C:\Windows\System32\eWMNoAg.exe
  C:\Windows\System32\eWMNoAg.exe
  2⤵
  PID:5660
- C:\Windows\System32\BpdZNtA.exe
  C:\Windows\System32\BpdZNtA.exe
  2⤵
  PID:5676
- C:\Windows\System32\xHNOBAs.exe
  C:\Windows\System32\xHNOBAs.exe
  2⤵
  PID:5704
- C:\Windows\System32\GjyABUe.exe
  C:\Windows\System32\GjyABUe.exe
  2⤵
  PID:5748
- C:\Windows\System32\NzXFCNx.exe
  C:\Windows\System32\NzXFCNx.exe
  2⤵
  PID:5776
- C:\Windows\System32\AdkSBYy.exe
  C:\Windows\System32\AdkSBYy.exe
  2⤵
  PID:5804
- C:\Windows\System32\vIndIZv.exe
  C:\Windows\System32\vIndIZv.exe
  2⤵
  PID:5824
- C:\Windows\System32\tLdWlqS.exe
  C:\Windows\System32\tLdWlqS.exe
  2⤵
  PID:5844
- C:\Windows\System32\qleQZrR.exe
  C:\Windows\System32\qleQZrR.exe
  2⤵
  PID:5880
- C:\Windows\System32\gdSKnzn.exe
  C:\Windows\System32\gdSKnzn.exe
  2⤵
  PID:5920
- C:\Windows\System32\kVyBioT.exe
  C:\Windows\System32\kVyBioT.exe
  2⤵
  PID:6000
- C:\Windows\System32\YWZsYmV.exe
  C:\Windows\System32\YWZsYmV.exe
  2⤵
  PID:6016
- C:\Windows\System32\jxfkrdv.exe
  C:\Windows\System32\jxfkrdv.exe
  2⤵
  PID:6036
- C:\Windows\System32\ImpxfJD.exe
  C:\Windows\System32\ImpxfJD.exe
  2⤵
  PID:6056
- C:\Windows\System32\QOXIEyq.exe
  C:\Windows\System32\QOXIEyq.exe
  2⤵
  PID:6072
- C:\Windows\System32\SPBRGYY.exe
  C:\Windows\System32\SPBRGYY.exe
  2⤵
  PID:6096
- C:\Windows\System32\NGMfCxl.exe
  C:\Windows\System32\NGMfCxl.exe
  2⤵
  PID:6112
- C:\Windows\System32\hzfiCKb.exe
  C:\Windows\System32\hzfiCKb.exe
  2⤵
  PID:2548
- C:\Windows\System32\fMAYJmJ.exe
  C:\Windows\System32\fMAYJmJ.exe
  2⤵
  PID:3808
- C:\Windows\System32\FGpCOzp.exe
  C:\Windows\System32\FGpCOzp.exe
  2⤵
  PID:740
- C:\Windows\System32\hvmFIbZ.exe
  C:\Windows\System32\hvmFIbZ.exe
  2⤵
  PID:4900
- C:\Windows\System32\rBIJYBY.exe
  C:\Windows\System32\rBIJYBY.exe
  2⤵
  PID:2864
- C:\Windows\System32\HdXkBiw.exe
  C:\Windows\System32\HdXkBiw.exe
  2⤵
  PID:3588
- C:\Windows\System32\fqmQSwo.exe
  C:\Windows\System32\fqmQSwo.exe
  2⤵
  PID:1964
- C:\Windows\System32\DPwKkis.exe
  C:\Windows\System32\DPwKkis.exe
  2⤵
  PID:1372
- C:\Windows\System32\NBeWSDq.exe
  C:\Windows\System32\NBeWSDq.exe
  2⤵
  PID:5136
- C:\Windows\System32\YRrDrdo.exe
  C:\Windows\System32\YRrDrdo.exe
  2⤵
  PID:2148
- C:\Windows\System32\WomAQFB.exe
  C:\Windows\System32\WomAQFB.exe
  2⤵
  PID:1992
- C:\Windows\System32\MsEriDe.exe
  C:\Windows\System32\MsEriDe.exe
  2⤵
  PID:5328
- C:\Windows\System32\YWvJGCa.exe
  C:\Windows\System32\YWvJGCa.exe
  2⤵
  PID:5384
- C:\Windows\System32\qEIIddi.exe
  C:\Windows\System32\qEIIddi.exe
  2⤵
  PID:5432
- C:\Windows\System32\NxBJLtZ.exe
  C:\Windows\System32\NxBJLtZ.exe
  2⤵
  PID:5420
- C:\Windows\System32\jFCHXZO.exe
  C:\Windows\System32\jFCHXZO.exe
  2⤵
  PID:5484
- C:\Windows\System32\DMvSdxW.exe
  C:\Windows\System32\DMvSdxW.exe
  2⤵
  PID:5548
- C:\Windows\System32\DcQfewe.exe
  C:\Windows\System32\DcQfewe.exe
  2⤵
  PID:5568
- C:\Windows\System32\uENMSVe.exe
  C:\Windows\System32\uENMSVe.exe
  2⤵
  PID:5692
- C:\Windows\System32\INguIvr.exe
  C:\Windows\System32\INguIvr.exe
  2⤵
  PID:5684
- C:\Windows\System32\gnfMxGk.exe
  C:\Windows\System32\gnfMxGk.exe
  2⤵
  PID:5816
- C:\Windows\System32\HboWvvE.exe
  C:\Windows\System32\HboWvvE.exe
  2⤵
  PID:5860
- C:\Windows\System32\XlLOhBu.exe
  C:\Windows\System32\XlLOhBu.exe
  2⤵
  PID:5888
- C:\Windows\System32\FztbuPS.exe
  C:\Windows\System32\FztbuPS.exe
  2⤵
  PID:5964
- C:\Windows\System32\mHSwaOL.exe
  C:\Windows\System32\mHSwaOL.exe
  2⤵
  PID:6024
- C:\Windows\System32\YtrnznJ.exe
  C:\Windows\System32\YtrnznJ.exe
  2⤵
  PID:6120
- C:\Windows\System32\zFovvjM.exe
  C:\Windows\System32\zFovvjM.exe
  2⤵
  PID:6064
- C:\Windows\System32\LNriibv.exe
  C:\Windows\System32\LNriibv.exe
  2⤵
  PID:3672
- C:\Windows\System32\JDdMyGB.exe
  C:\Windows\System32\JDdMyGB.exe
  2⤵
  PID:3524
- C:\Windows\System32\ruKruGp.exe
  C:\Windows\System32\ruKruGp.exe
  2⤵
  PID:5104
- C:\Windows\System32\TcxmDmx.exe
  C:\Windows\System32\TcxmDmx.exe
  2⤵
  PID:5364
- C:\Windows\System32\hpsvqja.exe
  C:\Windows\System32\hpsvqja.exe
  2⤵
  PID:5452
- C:\Windows\System32\cxNnhfZ.exe
  C:\Windows\System32\cxNnhfZ.exe
  2⤵
  PID:5608
- C:\Windows\System32\FlgvwuI.exe
  C:\Windows\System32\FlgvwuI.exe
  2⤵
  PID:5960
- C:\Windows\System32\daHVasE.exe
  C:\Windows\System32\daHVasE.exe
  2⤵
  PID:5988
- C:\Windows\System32\veujwGB.exe
  C:\Windows\System32\veujwGB.exe
  2⤵
  PID:2876
- C:\Windows\System32\qJrnqlG.exe
  C:\Windows\System32\qJrnqlG.exe
  2⤵
  PID:1232
- C:\Windows\System32\FwZRdYn.exe
  C:\Windows\System32\FwZRdYn.exe
  2⤵
  PID:5360
- C:\Windows\System32\CRGCyVj.exe
  C:\Windows\System32\CRGCyVj.exe
  2⤵
  PID:5536
- C:\Windows\System32\dqeUWFg.exe
  C:\Windows\System32\dqeUWFg.exe
  2⤵
  PID:5672
- C:\Windows\System32\GADYXDc.exe
  C:\Windows\System32\GADYXDc.exe
  2⤵
  PID:6032
- C:\Windows\System32\kazXVGK.exe
  C:\Windows\System32\kazXVGK.exe
  2⤵
  PID:1116
- C:\Windows\System32\TzuaAwm.exe
  C:\Windows\System32\TzuaAwm.exe
  2⤵
  PID:6176
- C:\Windows\System32\SAgVpvK.exe
  C:\Windows\System32\SAgVpvK.exe
  2⤵
  PID:6192
- C:\Windows\System32\fsZrhwG.exe
  C:\Windows\System32\fsZrhwG.exe
  2⤵
  PID:6208
- C:\Windows\System32\ldBWYZL.exe
  C:\Windows\System32\ldBWYZL.exe
  2⤵
  PID:6236
- C:\Windows\System32\LJcHjUo.exe
  C:\Windows\System32\LJcHjUo.exe
  2⤵
  PID:6252
- C:\Windows\System32\ZQJlycR.exe
  C:\Windows\System32\ZQJlycR.exe
  2⤵
  PID:6276
- C:\Windows\System32\NEqpOYq.exe
  C:\Windows\System32\NEqpOYq.exe
  2⤵
  PID:6292
- C:\Windows\System32\ONdkgPf.exe
  C:\Windows\System32\ONdkgPf.exe
  2⤵
  PID:6332
- C:\Windows\System32\oHzISOy.exe
  C:\Windows\System32\oHzISOy.exe
  2⤵
  PID:6352
- C:\Windows\System32\UHWEijs.exe
  C:\Windows\System32\UHWEijs.exe
  2⤵
  PID:6368
- C:\Windows\System32\akNVcjG.exe
  C:\Windows\System32\akNVcjG.exe
  2⤵
  PID:6412
- C:\Windows\System32\ZhtseTW.exe
  C:\Windows\System32\ZhtseTW.exe
  2⤵
  PID:6436
- C:\Windows\System32\MOBMhtw.exe
  C:\Windows\System32\MOBMhtw.exe
  2⤵
  PID:6452
- C:\Windows\System32\sfAAAPb.exe
  C:\Windows\System32\sfAAAPb.exe
  2⤵
  PID:6516
- C:\Windows\System32\tutGTvf.exe
  C:\Windows\System32\tutGTvf.exe
  2⤵
  PID:6544
- C:\Windows\System32\HvfzanX.exe
  C:\Windows\System32\HvfzanX.exe
  2⤵
  PID:6560
- C:\Windows\System32\spKVmoQ.exe
  C:\Windows\System32\spKVmoQ.exe
  2⤵
  PID:6584
- C:\Windows\System32\BjOjInu.exe
  C:\Windows\System32\BjOjInu.exe
  2⤵
  PID:6604
- C:\Windows\System32\QBsQqOx.exe
  C:\Windows\System32\QBsQqOx.exe
  2⤵
  PID:6628
- C:\Windows\System32\niKMsjy.exe
  C:\Windows\System32\niKMsjy.exe
  2⤵
  PID:6664
- C:\Windows\System32\cJTCUHM.exe
  C:\Windows\System32\cJTCUHM.exe
  2⤵
  PID:6688
- C:\Windows\System32\wmougaL.exe
  C:\Windows\System32\wmougaL.exe
  2⤵
  PID:6748
- C:\Windows\System32\wGxPady.exe
  C:\Windows\System32\wGxPady.exe
  2⤵
  PID:6776
- C:\Windows\System32\yILdXAA.exe
  C:\Windows\System32\yILdXAA.exe
  2⤵
  PID:6808
- C:\Windows\System32\FGayusQ.exe
  C:\Windows\System32\FGayusQ.exe
  2⤵
  PID:6840
- C:\Windows\System32\amQLhHQ.exe
  C:\Windows\System32\amQLhHQ.exe
  2⤵
  PID:6880
- C:\Windows\System32\CEwxNXP.exe
  C:\Windows\System32\CEwxNXP.exe
  2⤵
  PID:6904
- C:\Windows\System32\twycnno.exe
  C:\Windows\System32\twycnno.exe
  2⤵
  PID:6924
- C:\Windows\System32\ecotnRY.exe
  C:\Windows\System32\ecotnRY.exe
  2⤵
  PID:6944
- C:\Windows\System32\kKNbRCK.exe
  C:\Windows\System32\kKNbRCK.exe
  2⤵
  PID:6964
- C:\Windows\System32\UNfJYIl.exe
  C:\Windows\System32\UNfJYIl.exe
  2⤵
  PID:6984
- C:\Windows\System32\XSUPnJx.exe
  C:\Windows\System32\XSUPnJx.exe
  2⤵
  PID:7016
- C:\Windows\System32\WcsTejF.exe
  C:\Windows\System32\WcsTejF.exe
  2⤵
  PID:7036
- C:\Windows\System32\flRMYmr.exe
  C:\Windows\System32\flRMYmr.exe
  2⤵
  PID:7052
- C:\Windows\System32\NQoAXQO.exe
  C:\Windows\System32\NQoAXQO.exe
  2⤵
  PID:7076
- C:\Windows\System32\CyYSyfw.exe
  C:\Windows\System32\CyYSyfw.exe
  2⤵
  PID:7100
- C:\Windows\System32\wQaLOzn.exe
  C:\Windows\System32\wQaLOzn.exe
  2⤵
  PID:7152
- C:\Windows\System32\nDtnqgC.exe
  C:\Windows\System32\nDtnqgC.exe
  2⤵
  PID:5900
- C:\Windows\System32\jRGxHjP.exe
  C:\Windows\System32\jRGxHjP.exe
  2⤵
  PID:6244
- C:\Windows\System32\GPsjIlX.exe
  C:\Windows\System32\GPsjIlX.exe
  2⤵
  PID:6284
- C:\Windows\System32\TiEPPCU.exe
  C:\Windows\System32\TiEPPCU.exe
  2⤵
  PID:6360
- C:\Windows\System32\ghcJWef.exe
  C:\Windows\System32\ghcJWef.exe
  2⤵
  PID:6496
- C:\Windows\System32\idvkNZw.exe
  C:\Windows\System32\idvkNZw.exe
  2⤵
  PID:5632
- C:\Windows\System32\qoqSDpz.exe
  C:\Windows\System32\qoqSDpz.exe
  2⤵
  PID:6536
- C:\Windows\System32\YBcFcWq.exe
  C:\Windows\System32\YBcFcWq.exe
  2⤵
  PID:6656
- C:\Windows\System32\SmjQtxG.exe
  C:\Windows\System32\SmjQtxG.exe
  2⤵
  PID:6700
- C:\Windows\System32\wwMRcif.exe
  C:\Windows\System32\wwMRcif.exe
  2⤵
  PID:6756
- C:\Windows\System32\wOOoAvZ.exe
  C:\Windows\System32\wOOoAvZ.exe
  2⤵
  PID:6856
- C:\Windows\System32\YUEYLfQ.exe
  C:\Windows\System32\YUEYLfQ.exe
  2⤵
  PID:6900
- C:\Windows\System32\YlIvzJF.exe
  C:\Windows\System32\YlIvzJF.exe
  2⤵
  PID:6960
- C:\Windows\System32\smxtdsU.exe
  C:\Windows\System32\smxtdsU.exe
  2⤵
  PID:6996
- C:\Windows\System32\qkzqaGs.exe
  C:\Windows\System32\qkzqaGs.exe
  2⤵
  PID:7096
- C:\Windows\System32\JeGHJmg.exe
  C:\Windows\System32\JeGHJmg.exe
  2⤵
  PID:7108
- C:\Windows\System32\stoaRAs.exe
  C:\Windows\System32\stoaRAs.exe
  2⤵
  PID:6188
- C:\Windows\System32\OVHyWkj.exe
  C:\Windows\System32\OVHyWkj.exe
  2⤵
  PID:6200
- C:\Windows\System32\iOfNRDx.exe
  C:\Windows\System32\iOfNRDx.exe
  2⤵
  PID:6304
- C:\Windows\System32\xomQini.exe
  C:\Windows\System32\xomQini.exe
  2⤵
  PID:6708
- C:\Windows\System32\tVcZgXJ.exe
  C:\Windows\System32\tVcZgXJ.exe
  2⤵
  PID:6788
- C:\Windows\System32\ZbGPMrN.exe
  C:\Windows\System32\ZbGPMrN.exe
  2⤵
  PID:6824
- C:\Windows\System32\ZGAeRqn.exe
  C:\Windows\System32\ZGAeRqn.exe
  2⤵
  PID:7124
- C:\Windows\System32\rchFmAA.exe
  C:\Windows\System32\rchFmAA.exe
  2⤵
  PID:6852
- C:\Windows\System32\wWjjnfQ.exe
  C:\Windows\System32\wWjjnfQ.exe
  2⤵
  PID:7088
- C:\Windows\System32\GUgtnhw.exe
  C:\Windows\System32\GUgtnhw.exe
  2⤵
  PID:6980
- C:\Windows\System32\XtTkOKb.exe
  C:\Windows\System32\XtTkOKb.exe
  2⤵
  PID:7172
- C:\Windows\System32\kDnJwqP.exe
  C:\Windows\System32\kDnJwqP.exe
  2⤵
  PID:7212
- C:\Windows\System32\cmTpjty.exe
  C:\Windows\System32\cmTpjty.exe
  2⤵
  PID:7232
- C:\Windows\System32\KWKcwgn.exe
  C:\Windows\System32\KWKcwgn.exe
  2⤵
  PID:7256
- C:\Windows\System32\sxPuyiM.exe
  C:\Windows\System32\sxPuyiM.exe
  2⤵
  PID:7284
- C:\Windows\System32\yHnZcPS.exe
  C:\Windows\System32\yHnZcPS.exe
  2⤵
  PID:7300
- C:\Windows\System32\ZJaVSbN.exe
  C:\Windows\System32\ZJaVSbN.exe
  2⤵
  PID:7332
- C:\Windows\System32\MfXekSy.exe
  C:\Windows\System32\MfXekSy.exe
  2⤵
  PID:7356
- C:\Windows\System32\nGSOmyS.exe
  C:\Windows\System32\nGSOmyS.exe
  2⤵
  PID:7372
- C:\Windows\System32\rgcVjTa.exe
  C:\Windows\System32\rgcVjTa.exe
  2⤵
  PID:7396
- C:\Windows\System32\ijNPuQN.exe
  C:\Windows\System32\ijNPuQN.exe
  2⤵
  PID:7412
- C:\Windows\System32\YQoEVDJ.exe
  C:\Windows\System32\YQoEVDJ.exe
  2⤵
  PID:7476
- C:\Windows\System32\yrzIbuO.exe
  C:\Windows\System32\yrzIbuO.exe
  2⤵
  PID:7492
- C:\Windows\System32\njwZcfZ.exe
  C:\Windows\System32\njwZcfZ.exe
  2⤵
  PID:7520
- C:\Windows\System32\zLjHJvJ.exe
  C:\Windows\System32\zLjHJvJ.exe
  2⤵
  PID:7564
- C:\Windows\System32\dXbYEAQ.exe
  C:\Windows\System32\dXbYEAQ.exe
  2⤵
  PID:7592
- C:\Windows\System32\fPlwdSf.exe
  C:\Windows\System32\fPlwdSf.exe
  2⤵
  PID:7624
- C:\Windows\System32\vgSMYIw.exe
  C:\Windows\System32\vgSMYIw.exe
  2⤵
  PID:7640
- C:\Windows\System32\xegzhcL.exe
  C:\Windows\System32\xegzhcL.exe
  2⤵
  PID:7660
- C:\Windows\System32\lpgyxam.exe
  C:\Windows\System32\lpgyxam.exe
  2⤵
  PID:7704
- C:\Windows\System32\EqIwEKL.exe
  C:\Windows\System32\EqIwEKL.exe
  2⤵
  PID:7732
- C:\Windows\System32\SOjvwLv.exe
  C:\Windows\System32\SOjvwLv.exe
  2⤵
  PID:7768
- C:\Windows\System32\zdCQMys.exe
  C:\Windows\System32\zdCQMys.exe
  2⤵
  PID:7800
- C:\Windows\System32\KUhAHNj.exe
  C:\Windows\System32\KUhAHNj.exe
  2⤵
  PID:7824
- C:\Windows\System32\aysIbrS.exe
  C:\Windows\System32\aysIbrS.exe
  2⤵
  PID:7840
- C:\Windows\System32\gDSMSDh.exe
  C:\Windows\System32\gDSMSDh.exe
  2⤵
  PID:7880
- C:\Windows\System32\lVqOrJs.exe
  C:\Windows\System32\lVqOrJs.exe
  2⤵
  PID:7912
- C:\Windows\System32\JatoYOZ.exe
  C:\Windows\System32\JatoYOZ.exe
  2⤵
  PID:7940
- C:\Windows\System32\djwmQat.exe
  C:\Windows\System32\djwmQat.exe
  2⤵
  PID:7964
- C:\Windows\System32\GNQuTNj.exe
  C:\Windows\System32\GNQuTNj.exe
  2⤵
  PID:7984
- C:\Windows\System32\VHoAWmA.exe
  C:\Windows\System32\VHoAWmA.exe
  2⤵
  PID:8000
- C:\Windows\System32\NVcabTK.exe
  C:\Windows\System32\NVcabTK.exe
  2⤵
  PID:8036
- C:\Windows\System32\OsPraxe.exe
  C:\Windows\System32\OsPraxe.exe
  2⤵
  PID:8056
- C:\Windows\System32\UkNeQnf.exe
  C:\Windows\System32\UkNeQnf.exe
  2⤵
  PID:8072
- C:\Windows\System32\ENqTmre.exe
  C:\Windows\System32\ENqTmre.exe
  2⤵
  PID:8096
- C:\Windows\System32\WctWimJ.exe
  C:\Windows\System32\WctWimJ.exe
  2⤵
  PID:8116
- C:\Windows\System32\YcBlMmU.exe
  C:\Windows\System32\YcBlMmU.exe
  2⤵
  PID:8160
- C:\Windows\System32\bhYJcqV.exe
  C:\Windows\System32\bhYJcqV.exe
  2⤵
  PID:5012
- C:\Windows\System32\nCJGrwa.exe
  C:\Windows\System32\nCJGrwa.exe
  2⤵
  PID:7308
- C:\Windows\System32\xiQUhwC.exe
  C:\Windows\System32\xiQUhwC.exe
  2⤵
  PID:7392
- C:\Windows\System32\KhWiaaT.exe
  C:\Windows\System32\KhWiaaT.exe
  2⤵
  PID:7348
- C:\Windows\System32\yUCvNdU.exe
  C:\Windows\System32\yUCvNdU.exe
  2⤵
  PID:7404
- C:\Windows\System32\LtONYgs.exe
  C:\Windows\System32\LtONYgs.exe
  2⤵
  PID:7500
- C:\Windows\System32\QhUucFf.exe
  C:\Windows\System32\QhUucFf.exe
  2⤵
  PID:7484
- C:\Windows\System32\EeDjfeo.exe
  C:\Windows\System32\EeDjfeo.exe
  2⤵
  PID:7600
- C:\Windows\System32\WfzUjmR.exe
  C:\Windows\System32\WfzUjmR.exe
  2⤵
  PID:7672
- C:\Windows\System32\nLbZhHe.exe
  C:\Windows\System32\nLbZhHe.exe
  2⤵
  PID:7744
- C:\Windows\System32\smtznYy.exe
  C:\Windows\System32\smtznYy.exe
  2⤵
  PID:7820
- C:\Windows\System32\lVYtpeJ.exe
  C:\Windows\System32\lVYtpeJ.exe
  2⤵
  PID:7832
- C:\Windows\System32\ULkrAgR.exe
  C:\Windows\System32\ULkrAgR.exe
  2⤵
  PID:7904
- C:\Windows\System32\EGYqpsE.exe
  C:\Windows\System32\EGYqpsE.exe
  2⤵
  PID:8008
- C:\Windows\System32\HQWBneP.exe
  C:\Windows\System32\HQWBneP.exe
  2⤵
  PID:8032
- C:\Windows\System32\qGfljtE.exe
  C:\Windows\System32\qGfljtE.exe
  2⤵
  PID:8136
- C:\Windows\System32\XNFjjpD.exe
  C:\Windows\System32\XNFjjpD.exe
  2⤵
  PID:8188
- C:\Windows\System32\QboMGoN.exe
  C:\Windows\System32\QboMGoN.exe
  2⤵
  PID:7248
- C:\Windows\System32\zSeWTAC.exe
  C:\Windows\System32\zSeWTAC.exe
  2⤵
  PID:7456
- C:\Windows\System32\wFwGBUB.exe
  C:\Windows\System32\wFwGBUB.exe
  2⤵
  PID:7432
- C:\Windows\System32\ajQxGNe.exe
  C:\Windows\System32\ajQxGNe.exe
  2⤵
  PID:7604
- C:\Windows\System32\OEaksnZ.exe
  C:\Windows\System32\OEaksnZ.exe
  2⤵
  PID:7992
- C:\Windows\System32\hcWewCD.exe
  C:\Windows\System32\hcWewCD.exe
  2⤵
  PID:7408
- C:\Windows\System32\ilSYhiB.exe
  C:\Windows\System32\ilSYhiB.exe
  2⤵
  PID:7872
- C:\Windows\System32\BOVLhqJ.exe
  C:\Windows\System32\BOVLhqJ.exe
  2⤵
  PID:7928
- C:\Windows\System32\HBXWyFH.exe
  C:\Windows\System32\HBXWyFH.exe
  2⤵
  PID:8104
- C:\Windows\System32\cAVGYlq.exe
  C:\Windows\System32\cAVGYlq.exe
  2⤵
  PID:8208
- C:\Windows\System32\KDcXSXU.exe
  C:\Windows\System32\KDcXSXU.exe
  2⤵
  PID:8236
- C:\Windows\System32\ELtddXi.exe
  C:\Windows\System32\ELtddXi.exe
  2⤵
  PID:8260
- C:\Windows\System32\MxKmdBI.exe
  C:\Windows\System32\MxKmdBI.exe
  2⤵
  PID:8276
- C:\Windows\System32\VbZrTRL.exe
  C:\Windows\System32\VbZrTRL.exe
  2⤵
  PID:8296
- C:\Windows\System32\CxewUxL.exe
  C:\Windows\System32\CxewUxL.exe
  2⤵
  PID:8320
- C:\Windows\System32\CEkmHhQ.exe
  C:\Windows\System32\CEkmHhQ.exe
  2⤵
  PID:8368
- C:\Windows\System32\izibpPZ.exe
  C:\Windows\System32\izibpPZ.exe
  2⤵
  PID:8400
- C:\Windows\System32\tOjovqo.exe
  C:\Windows\System32\tOjovqo.exe
  2⤵
  PID:8420
- C:\Windows\System32\pAIqnVk.exe
  C:\Windows\System32\pAIqnVk.exe
  2⤵
  PID:8436
- C:\Windows\System32\iMgIsNx.exe
  C:\Windows\System32\iMgIsNx.exe
  2⤵
  PID:8460
- C:\Windows\System32\ejcwinX.exe
  C:\Windows\System32\ejcwinX.exe
  2⤵
  PID:8480
- C:\Windows\System32\frUSxWo.exe
  C:\Windows\System32\frUSxWo.exe
  2⤵
  PID:8500
- C:\Windows\System32\OFsapAb.exe
  C:\Windows\System32\OFsapAb.exe
  2⤵
  PID:8536
- C:\Windows\System32\niEtBem.exe
  C:\Windows\System32\niEtBem.exe
  2⤵
  PID:8568
- C:\Windows\System32\zpodZoD.exe
  C:\Windows\System32\zpodZoD.exe
  2⤵
  PID:8584
- C:\Windows\System32\TAczFbv.exe
  C:\Windows\System32\TAczFbv.exe
  2⤵
  PID:8608
- C:\Windows\System32\MdFAbyj.exe
  C:\Windows\System32\MdFAbyj.exe
  2⤵
  PID:8628
- C:\Windows\System32\EbuffHb.exe
  C:\Windows\System32\EbuffHb.exe
  2⤵
  PID:8644
- C:\Windows\System32\oBfBvbF.exe
  C:\Windows\System32\oBfBvbF.exe
  2⤵
  PID:8760
- C:\Windows\System32\jPakmey.exe
  C:\Windows\System32\jPakmey.exe
  2⤵
  PID:8788
- C:\Windows\System32\AizmtLG.exe
  C:\Windows\System32\AizmtLG.exe
  2⤵
  PID:8848
- C:\Windows\System32\RQcDqyF.exe
  C:\Windows\System32\RQcDqyF.exe
  2⤵
  PID:8868
- C:\Windows\System32\XqaxbXB.exe
  C:\Windows\System32\XqaxbXB.exe
  2⤵
  PID:8888
- C:\Windows\System32\CAFrpcp.exe
  C:\Windows\System32\CAFrpcp.exe
  2⤵
  PID:8912
- C:\Windows\System32\ayGazaA.exe
  C:\Windows\System32\ayGazaA.exe
  2⤵
  PID:8928
- C:\Windows\System32\lTXXrLw.exe
  C:\Windows\System32\lTXXrLw.exe
  2⤵
  PID:8976
- C:\Windows\System32\nIQJGRW.exe
  C:\Windows\System32\nIQJGRW.exe
  2⤵
  PID:8996
- C:\Windows\System32\RpwrhQH.exe
  C:\Windows\System32\RpwrhQH.exe
  2⤵
  PID:9048
- C:\Windows\System32\kqqkfHI.exe
  C:\Windows\System32\kqqkfHI.exe
  2⤵
  PID:9068
- C:\Windows\System32\SAlSliW.exe
  C:\Windows\System32\SAlSliW.exe
  2⤵
  PID:9092
- C:\Windows\System32\XPgAUzm.exe
  C:\Windows\System32\XPgAUzm.exe
  2⤵
  PID:9108
- C:\Windows\System32\dVUsXIk.exe
  C:\Windows\System32\dVUsXIk.exe
  2⤵
  PID:9124
- C:\Windows\System32\eFjnLKf.exe
  C:\Windows\System32\eFjnLKf.exe
  2⤵
  PID:9172
- C:\Windows\System32\ZQqTTUj.exe
  C:\Windows\System32\ZQqTTUj.exe
  2⤵
  PID:9208
- C:\Windows\System32\IWefRKn.exe
  C:\Windows\System32\IWefRKn.exe
  2⤵
  PID:8220
- C:\Windows\System32\wyVrLMb.exe
  C:\Windows\System32\wyVrLMb.exe
  2⤵
  PID:8292
- C:\Windows\System32\xSxVKUt.exe
  C:\Windows\System32\xSxVKUt.exe
  2⤵
  PID:8328
- C:\Windows\System32\XUUVoJP.exe
  C:\Windows\System32\XUUVoJP.exe
  2⤵
  PID:8384
- C:\Windows\System32\kfzEUjG.exe
  C:\Windows\System32\kfzEUjG.exe
  2⤵
  PID:8476
- C:\Windows\System32\yrPNEXn.exe
  C:\Windows\System32\yrPNEXn.exe
  2⤵
  PID:8544
- C:\Windows\System32\KhhkxSn.exe
  C:\Windows\System32\KhhkxSn.exe
  2⤵
  PID:8576
- C:\Windows\System32\TrUcDLx.exe
  C:\Windows\System32\TrUcDLx.exe
  2⤵
  PID:8592
- C:\Windows\System32\MpJXvgr.exe
  C:\Windows\System32\MpJXvgr.exe
  2⤵
  PID:8700
- C:\Windows\System32\oDwDpke.exe
  C:\Windows\System32\oDwDpke.exe
  2⤵
  PID:8704
- C:\Windows\System32\FogtnMb.exe
  C:\Windows\System32\FogtnMb.exe
  2⤵
  PID:8772
- C:\Windows\System32\QHEJcvY.exe
  C:\Windows\System32\QHEJcvY.exe
  2⤵
  PID:8808
- C:\Windows\System32\xyplJtF.exe
  C:\Windows\System32\xyplJtF.exe
  2⤵
  PID:8884
- C:\Windows\System32\AnjizRx.exe
  C:\Windows\System32\AnjizRx.exe
  2⤵
  PID:8920
- C:\Windows\System32\uOWtcWJ.exe
  C:\Windows\System32\uOWtcWJ.exe
  2⤵
  PID:9012
- C:\Windows\System32\brMfuUA.exe
  C:\Windows\System32\brMfuUA.exe
  2⤵
  PID:9088
- C:\Windows\System32\XjYybWV.exe
  C:\Windows\System32\XjYybWV.exe
  2⤵
  PID:9144
- C:\Windows\System32\DfRonRd.exe
  C:\Windows\System32\DfRonRd.exe
  2⤵
  PID:8284
- C:\Windows\System32\mEDRQJS.exe
  C:\Windows\System32\mEDRQJS.exe
  2⤵
  PID:8444
- C:\Windows\System32\PXhOfVe.exe
  C:\Windows\System32\PXhOfVe.exe
  2⤵
  PID:8688
- C:\Windows\System32\MDLgipp.exe
  C:\Windows\System32\MDLgipp.exe
  2⤵
  PID:8716
- C:\Windows\System32\mIwLJhr.exe
  C:\Windows\System32\mIwLJhr.exe
  2⤵
  PID:8744
- C:\Windows\System32\bWLSoRJ.exe
  C:\Windows\System32\bWLSoRJ.exe
  2⤵
  PID:3820
- C:\Windows\System32\DRCGAdA.exe
  C:\Windows\System32\DRCGAdA.exe
  2⤵
  PID:9100
- C:\Windows\System32\tPjVVUM.exe
  C:\Windows\System32\tPjVVUM.exe
  2⤵
  PID:8392
- C:\Windows\System32\FucYHEk.exe
  C:\Windows\System32\FucYHEk.exe
  2⤵
  PID:8696
- C:\Windows\System32\vkonSQJ.exe
  C:\Windows\System32\vkonSQJ.exe
  2⤵
  PID:8988
- C:\Windows\System32\gmDNfdG.exe
  C:\Windows\System32\gmDNfdG.exe
  2⤵
  PID:9116
- C:\Windows\System32\PtEjQLn.exe
  C:\Windows\System32\PtEjQLn.exe
  2⤵
  PID:8836
- C:\Windows\System32\CptNqPJ.exe
  C:\Windows\System32\CptNqPJ.exe
  2⤵
  PID:9228
- C:\Windows\System32\bHAatDw.exe
  C:\Windows\System32\bHAatDw.exe
  2⤵
  PID:9276
- C:\Windows\System32\zgRjPuX.exe
  C:\Windows\System32\zgRjPuX.exe
  2⤵
  PID:9296
- C:\Windows\System32\Qkwthjk.exe
  C:\Windows\System32\Qkwthjk.exe
  2⤵
  PID:9320
- C:\Windows\System32\VutOApk.exe
  C:\Windows\System32\VutOApk.exe
  2⤵
  PID:9340
- C:\Windows\System32\mRLOaBv.exe
  C:\Windows\System32\mRLOaBv.exe
  2⤵
  PID:9368
- C:\Windows\System32\KqzewEB.exe
  C:\Windows\System32\KqzewEB.exe
  2⤵
  PID:9384
- C:\Windows\System32\LTDBHWp.exe
  C:\Windows\System32\LTDBHWp.exe
  2⤵
  PID:9408
- C:\Windows\System32\eFjAGcL.exe
  C:\Windows\System32\eFjAGcL.exe
  2⤵
  PID:9432
- C:\Windows\System32\AhkqqLJ.exe
  C:\Windows\System32\AhkqqLJ.exe
  2⤵
  PID:9472
- C:\Windows\System32\zFMETOp.exe
  C:\Windows\System32\zFMETOp.exe
  2⤵
  PID:9528
- C:\Windows\System32\hDumPrf.exe
  C:\Windows\System32\hDumPrf.exe
  2⤵
  PID:9544
- C:\Windows\System32\qRPzUSz.exe
  C:\Windows\System32\qRPzUSz.exe
  2⤵
  PID:9564
- C:\Windows\System32\oHIQwcO.exe
  C:\Windows\System32\oHIQwcO.exe
  2⤵
  PID:9600
- C:\Windows\System32\UvlQBhr.exe
  C:\Windows\System32\UvlQBhr.exe
  2⤵
  PID:9628
- C:\Windows\System32\vtKjock.exe
  C:\Windows\System32\vtKjock.exe
  2⤵
  PID:9656
- C:\Windows\System32\XWNPnZE.exe
  C:\Windows\System32\XWNPnZE.exe
  2⤵
  PID:9680
- C:\Windows\System32\eNbHPGy.exe
  C:\Windows\System32\eNbHPGy.exe
  2⤵
  PID:9708
- C:\Windows\System32\oSqIPzL.exe
  C:\Windows\System32\oSqIPzL.exe
  2⤵
  PID:9728
- C:\Windows\System32\GMpzCzx.exe
  C:\Windows\System32\GMpzCzx.exe
  2⤵
  PID:9744
- C:\Windows\System32\BAukCir.exe
  C:\Windows\System32\BAukCir.exe
  2⤵
  PID:9768
- C:\Windows\System32\bLphLKr.exe
  C:\Windows\System32\bLphLKr.exe
  2⤵
  PID:9784
- C:\Windows\System32\RxbZQSM.exe
  C:\Windows\System32\RxbZQSM.exe
  2⤵
  PID:9828
- C:\Windows\System32\nJLNgrh.exe
  C:\Windows\System32\nJLNgrh.exe
  2⤵
  PID:9872
- C:\Windows\System32\NrxXLkQ.exe
  C:\Windows\System32\NrxXLkQ.exe
  2⤵
  PID:9900
- C:\Windows\System32\PARwAhm.exe
  C:\Windows\System32\PARwAhm.exe
  2⤵
  PID:9916
- C:\Windows\System32\cYyTAaA.exe
  C:\Windows\System32\cYyTAaA.exe
  2⤵
  PID:9940
- C:\Windows\System32\cPVLizR.exe
  C:\Windows\System32\cPVLizR.exe
  2⤵
  PID:9960
- C:\Windows\System32\mjtRmzY.exe
  C:\Windows\System32\mjtRmzY.exe
  2⤵
  PID:9976
- C:\Windows\System32\WxIcOap.exe
  C:\Windows\System32\WxIcOap.exe
  2⤵
  PID:10012
- C:\Windows\System32\bAAoaHx.exe
  C:\Windows\System32\bAAoaHx.exe
  2⤵
  PID:10032
- C:\Windows\System32\RoKPGPf.exe
  C:\Windows\System32\RoKPGPf.exe
  2⤵
  PID:10064
- C:\Windows\System32\XacDvnE.exe
  C:\Windows\System32\XacDvnE.exe
  2⤵
  PID:10096
- C:\Windows\System32\rYJpHLD.exe
  C:\Windows\System32\rYJpHLD.exe
  2⤵
  PID:10172
- C:\Windows\System32\xJjJPtc.exe
  C:\Windows\System32\xJjJPtc.exe
  2⤵
  PID:10196
- C:\Windows\System32\DbWghwF.exe
  C:\Windows\System32\DbWghwF.exe
  2⤵
  PID:10220
- C:\Windows\System32\eWOwQzp.exe
  C:\Windows\System32\eWOwQzp.exe
  2⤵
  PID:9224
- C:\Windows\System32\MUZGlcE.exe
  C:\Windows\System32\MUZGlcE.exe
  2⤵
  PID:9248
- C:\Windows\System32\spJxXrI.exe
  C:\Windows\System32\spJxXrI.exe
  2⤵
  PID:9288
- C:\Windows\System32\uPDJPjB.exe
  C:\Windows\System32\uPDJPjB.exe
  2⤵
  PID:9380
- C:\Windows\System32\VMATTNt.exe
  C:\Windows\System32\VMATTNt.exe
  2⤵
  PID:9468
- C:\Windows\System32\PSWloLy.exe
  C:\Windows\System32\PSWloLy.exe
  2⤵
  PID:9540
- C:\Windows\System32\oBKGxCo.exe
  C:\Windows\System32\oBKGxCo.exe
  2⤵
  PID:9556
- C:\Windows\System32\YhjpPGg.exe
  C:\Windows\System32\YhjpPGg.exe
  2⤵
  PID:9652
- C:\Windows\System32\zDNkxwQ.exe
  C:\Windows\System32\zDNkxwQ.exe
  2⤵
  PID:9792
- C:\Windows\System32\ZqMEFRr.exe
  C:\Windows\System32\ZqMEFRr.exe
  2⤵
  PID:9776
- C:\Windows\System32\PSyezAy.exe
  C:\Windows\System32\PSyezAy.exe
  2⤵
  PID:9752
- C:\Windows\System32\rjwvjEM.exe
  C:\Windows\System32\rjwvjEM.exe
  2⤵
  PID:9836
- C:\Windows\System32\uZAzLEP.exe
  C:\Windows\System32\uZAzLEP.exe
  2⤵
  PID:10008
- C:\Windows\System32\HVHEdWk.exe
  C:\Windows\System32\HVHEdWk.exe
  2⤵
  PID:10080
- C:\Windows\System32\kyAVEBR.exe
  C:\Windows\System32\kyAVEBR.exe
  2⤵
  PID:10120
- C:\Windows\System32\AYAkSaY.exe
  C:\Windows\System32\AYAkSaY.exe
  2⤵
  PID:10180
- C:\Windows\System32\sRVqaDj.exe
  C:\Windows\System32\sRVqaDj.exe
  2⤵
  PID:10236
- C:\Windows\System32\AqLnSzt.exe
  C:\Windows\System32\AqLnSzt.exe
  2⤵
  PID:9312
- C:\Windows\System32\PHnMBhw.exe
  C:\Windows\System32\PHnMBhw.exe
  2⤵
  PID:9400
- C:\Windows\System32\dNvEEmi.exe
  C:\Windows\System32\dNvEEmi.exe
  2⤵
  PID:9760
- C:\Windows\System32\gVKpUht.exe
  C:\Windows\System32\gVKpUht.exe
  2⤵
  PID:9988
- C:\Windows\System32\qBcdFSY.exe
  C:\Windows\System32\qBcdFSY.exe
  2⤵
  PID:10028
- C:\Windows\System32\yAotpXf.exe
  C:\Windows\System32\yAotpXf.exe
  2⤵
  PID:10212
- C:\Windows\System32\LyQqzXY.exe
  C:\Windows\System32\LyQqzXY.exe
  2⤵
  PID:9336
- C:\Windows\System32\WHrFRHS.exe
  C:\Windows\System32\WHrFRHS.exe
  2⤵
  PID:9700
- C:\Windows\System32\CflwvZv.exe
  C:\Windows\System32\CflwvZv.exe
  2⤵
  PID:9908
- C:\Windows\System32\HAXFvcC.exe
  C:\Windows\System32\HAXFvcC.exe
  2⤵
  PID:9932
- C:\Windows\System32\oYigteG.exe
  C:\Windows\System32\oYigteG.exe
  2⤵
  PID:10256
- C:\Windows\System32\NBRMZrm.exe
  C:\Windows\System32\NBRMZrm.exe
  2⤵
  PID:10280
- C:\Windows\System32\YJQjuQg.exe
  C:\Windows\System32\YJQjuQg.exe
  2⤵
  PID:10304
- C:\Windows\System32\MgmxtXF.exe
  C:\Windows\System32\MgmxtXF.exe
  2⤵
  PID:10320
- C:\Windows\System32\JzFEdcJ.exe
  C:\Windows\System32\JzFEdcJ.exe
  2⤵
  PID:10352
- C:\Windows\System32\CgDgXRM.exe
  C:\Windows\System32\CgDgXRM.exe
  2⤵
  PID:10396
- C:\Windows\System32\kahKdsh.exe
  C:\Windows\System32\kahKdsh.exe
  2⤵
  PID:10416
- C:\Windows\System32\LSPNUni.exe
  C:\Windows\System32\LSPNUni.exe
  2⤵
  PID:10448
- C:\Windows\System32\NOxmDuM.exe
  C:\Windows\System32\NOxmDuM.exe
  2⤵
  PID:10480
- C:\Windows\System32\AkHQZkU.exe
  C:\Windows\System32\AkHQZkU.exe
  2⤵
  PID:10508
- C:\Windows\System32\TQOhgTL.exe
  C:\Windows\System32\TQOhgTL.exe
  2⤵
  PID:10524
- C:\Windows\System32\ixbhmoe.exe
  C:\Windows\System32\ixbhmoe.exe
  2⤵
  PID:10552
- C:\Windows\System32\KLYhdGB.exe
  C:\Windows\System32\KLYhdGB.exe
  2⤵
  PID:10588
- C:\Windows\System32\OASbpKh.exe
  C:\Windows\System32\OASbpKh.exe
  2⤵
  PID:10620
- C:\Windows\System32\RJQgopT.exe
  C:\Windows\System32\RJQgopT.exe
  2⤵
  PID:10664
- C:\Windows\System32\ZfkWswz.exe
  C:\Windows\System32\ZfkWswz.exe
  2⤵
  PID:10680
- C:\Windows\System32\DnavZpd.exe
  C:\Windows\System32\DnavZpd.exe
  2⤵
  PID:10696
- C:\Windows\System32\PXaICFu.exe
  C:\Windows\System32\PXaICFu.exe
  2⤵
  PID:10716
- C:\Windows\System32\EvaSulF.exe
  C:\Windows\System32\EvaSulF.exe
  2⤵
  PID:10748
- C:\Windows\System32\PSlyrmw.exe
  C:\Windows\System32\PSlyrmw.exe
  2⤵
  PID:10772
- C:\Windows\System32\HjGLJaz.exe
  C:\Windows\System32\HjGLJaz.exe
  2⤵
  PID:10804
- C:\Windows\System32\kznIUne.exe
  C:\Windows\System32\kznIUne.exe
  2⤵
  PID:10828
- C:\Windows\System32\oTqZVch.exe
  C:\Windows\System32\oTqZVch.exe
  2⤵
  PID:10848
- C:\Windows\System32\BcorHeu.exe
  C:\Windows\System32\BcorHeu.exe
  2⤵
  PID:10868
- C:\Windows\System32\gaKNssy.exe
  C:\Windows\System32\gaKNssy.exe
  2⤵
  PID:10888
- C:\Windows\System32\SKZbibu.exe
  C:\Windows\System32\SKZbibu.exe
  2⤵
  PID:10932
- C:\Windows\System32\oFbhVMf.exe
  C:\Windows\System32\oFbhVMf.exe
  2⤵
  PID:10964
- C:\Windows\System32\TcmMvIC.exe
  C:\Windows\System32\TcmMvIC.exe
  2⤵
  PID:11016
- C:\Windows\System32\TaKtige.exe
  C:\Windows\System32\TaKtige.exe
  2⤵
  PID:11032
- C:\Windows\System32\DzDqlyJ.exe
  C:\Windows\System32\DzDqlyJ.exe
  2⤵
  PID:11072
- C:\Windows\System32\joRVqkH.exe
  C:\Windows\System32\joRVqkH.exe
  2⤵
  PID:11112
- C:\Windows\System32\IzMyWUD.exe
  C:\Windows\System32\IzMyWUD.exe
  2⤵
  PID:11128
- C:\Windows\System32\AMJluso.exe
  C:\Windows\System32\AMJluso.exe
  2⤵
  PID:11144
- C:\Windows\System32\cPQQoYu.exe
  C:\Windows\System32\cPQQoYu.exe
  2⤵
  PID:11164
- C:\Windows\System32\kldeeIz.exe
  C:\Windows\System32\kldeeIz.exe
  2⤵
  PID:11200
- C:\Windows\System32\fNbggzn.exe
  C:\Windows\System32\fNbggzn.exe
  2⤵
  PID:11228
- C:\Windows\System32\ocqWBHN.exe
  C:\Windows\System32\ocqWBHN.exe
  2⤵
  PID:9800
- C:\Windows\System32\FYFvrdD.exe
  C:\Windows\System32\FYFvrdD.exe
  2⤵
  PID:10264
- C:\Windows\System32\WmcJwWp.exe
  C:\Windows\System32\WmcJwWp.exe
  2⤵
  PID:10288
- C:\Windows\System32\ppIDBOl.exe
  C:\Windows\System32\ppIDBOl.exe
  2⤵
  PID:10360
- C:\Windows\System32\IVNKwzk.exe
  C:\Windows\System32\IVNKwzk.exe
  2⤵
  PID:10412
- C:\Windows\System32\PlCegoU.exe
  C:\Windows\System32\PlCegoU.exe
  2⤵
  PID:10468
- C:\Windows\System32\ZeReNlm.exe
  C:\Windows\System32\ZeReNlm.exe
  2⤵
  PID:10612
- C:\Windows\System32\bYMSgEw.exe
  C:\Windows\System32\bYMSgEw.exe
  2⤵
  PID:10644
- C:\Windows\System32\ntFUnuO.exe
  C:\Windows\System32\ntFUnuO.exe
  2⤵
  PID:10692
- C:\Windows\System32\gmHrnEe.exe
  C:\Windows\System32\gmHrnEe.exe
  2⤵
  PID:10764
- C:\Windows\System32\rwwImcU.exe
  C:\Windows\System32\rwwImcU.exe
  2⤵
  PID:10840
- C:\Windows\System32\LaKeNdU.exe
  C:\Windows\System32\LaKeNdU.exe
  2⤵
  PID:10940
- C:\Windows\System32\vyBdDqT.exe
  C:\Windows\System32\vyBdDqT.exe
  2⤵
  PID:11008
- C:\Windows\System32\uyJcEkO.exe
  C:\Windows\System32\uyJcEkO.exe
  2⤵
  PID:11048
- C:\Windows\System32\SLFmBln.exe
  C:\Windows\System32\SLFmBln.exe
  2⤵
  PID:11124
- C:\Windows\System32\cJPvmNT.exe
  C:\Windows\System32\cJPvmNT.exe
  2⤵
  PID:11152
- C:\Windows\System32\QRfaVcB.exe
  C:\Windows\System32\QRfaVcB.exe
  2⤵
  PID:11216
- C:\Windows\System32\dRnnAaN.exe
  C:\Windows\System32\dRnnAaN.exe
  2⤵
  PID:10252
- C:\Windows\System32\xhGlJIW.exe
  C:\Windows\System32\xhGlJIW.exe
  2⤵
  PID:10372
- C:\Windows\System32\nhKWuty.exe
  C:\Windows\System32\nhKWuty.exe
  2⤵
  PID:10568
- C:\Windows\System32\ShJLeyV.exe
  C:\Windows\System32\ShJLeyV.exe
  2⤵
  PID:10824
- C:\Windows\System32\JibxXzR.exe
  C:\Windows\System32\JibxXzR.exe
  2⤵
  PID:10924
- C:\Windows\System32\JrWXlXP.exe
  C:\Windows\System32\JrWXlXP.exe
  2⤵
  PID:11056
- C:\Windows\System32\jWZhQob.exe
  C:\Windows\System32\jWZhQob.exe
  2⤵
  PID:11160
- C:\Windows\System32\vllxJNW.exe
  C:\Windows\System32\vllxJNW.exe
  2⤵
  PID:10332
- C:\Windows\System32\cqkCRyK.exe
  C:\Windows\System32\cqkCRyK.exe
  2⤵
  PID:10896
- C:\Windows\System32\wWuVhHW.exe
  C:\Windows\System32\wWuVhHW.exe
  2⤵
  PID:11040
- C:\Windows\System32\jMAdSUO.exe
  C:\Windows\System32\jMAdSUO.exe
  2⤵
  PID:11208
- C:\Windows\System32\hVPDcUk.exe
  C:\Windows\System32\hVPDcUk.exe
  2⤵
  PID:11276
- C:\Windows\System32\fStVwRk.exe
  C:\Windows\System32\fStVwRk.exe
  2⤵
  PID:11296
- C:\Windows\System32\JFDYeFU.exe
  C:\Windows\System32\JFDYeFU.exe
  2⤵
  PID:11316
- C:\Windows\System32\rBCZbPE.exe
  C:\Windows\System32\rBCZbPE.exe
  2⤵
  PID:11360
- C:\Windows\System32\eKfZhyM.exe
  C:\Windows\System32\eKfZhyM.exe
  2⤵
  PID:11388
- C:\Windows\System32\TrSxWGD.exe
  C:\Windows\System32\TrSxWGD.exe
  2⤵
  PID:11408
- C:\Windows\System32\KSyXFhY.exe
  C:\Windows\System32\KSyXFhY.exe
  2⤵
  PID:11428
- C:\Windows\System32\VJwLzuX.exe
  C:\Windows\System32\VJwLzuX.exe
  2⤵
  PID:11540
- C:\Windows\System32\cnpSOmj.exe
  C:\Windows\System32\cnpSOmj.exe
  2⤵
  PID:11560
- C:\Windows\System32\aoeCKbm.exe
  C:\Windows\System32\aoeCKbm.exe
  2⤵
  PID:11580
- C:\Windows\System32\PlanUeD.exe
  C:\Windows\System32\PlanUeD.exe
  2⤵
  PID:11600
- C:\Windows\System32\ByLGVdV.exe
  C:\Windows\System32\ByLGVdV.exe
  2⤵
  PID:11616
- C:\Windows\System32\erdBQvc.exe
  C:\Windows\System32\erdBQvc.exe
  2⤵
  PID:11652
- C:\Windows\System32\rZsCJaX.exe
  C:\Windows\System32\rZsCJaX.exe
  2⤵
  PID:11668
- C:\Windows\System32\ofENYZa.exe
  C:\Windows\System32\ofENYZa.exe
  2⤵
  PID:11692
- C:\Windows\System32\vsZwOTD.exe
  C:\Windows\System32\vsZwOTD.exe
  2⤵
  PID:11712
- C:\Windows\System32\NngXJxC.exe
  C:\Windows\System32\NngXJxC.exe
  2⤵
  PID:11736
- C:\Windows\System32\ZhbmtLa.exe
  C:\Windows\System32\ZhbmtLa.exe
  2⤵
  PID:11756
- C:\Windows\System32\SwvcPts.exe
  C:\Windows\System32\SwvcPts.exe
  2⤵
  PID:11804
- C:\Windows\System32\sFgkEOz.exe
  C:\Windows\System32\sFgkEOz.exe
  2⤵
  PID:11856
- C:\Windows\System32\OCLkUIO.exe
  C:\Windows\System32\OCLkUIO.exe
  2⤵
  PID:11876
- C:\Windows\System32\XcWHdMS.exe
  C:\Windows\System32\XcWHdMS.exe
  2⤵
  PID:11936
- C:\Windows\System32\kzrOEbp.exe
  C:\Windows\System32\kzrOEbp.exe
  2⤵
  PID:11956
- C:\Windows\System32\pZakOCX.exe
  C:\Windows\System32\pZakOCX.exe
  2⤵
  PID:12008
- C:\Windows\System32\KOTQCRV.exe
  C:\Windows\System32\KOTQCRV.exe
  2⤵
  PID:12044
- C:\Windows\System32\CdwhCsE.exe
  C:\Windows\System32\CdwhCsE.exe
  2⤵
  PID:12064
- C:\Windows\System32\KDVgAfg.exe
  C:\Windows\System32\KDVgAfg.exe
  2⤵
  PID:12080
- C:\Windows\System32\jxZmlDe.exe
  C:\Windows\System32\jxZmlDe.exe
  2⤵
  PID:12108
- C:\Windows\System32\IuOIyjJ.exe
  C:\Windows\System32\IuOIyjJ.exe
  2⤵
  PID:12124
- C:\Windows\System32\RpTaGZG.exe
  C:\Windows\System32\RpTaGZG.exe
  2⤵
  PID:12144
- C:\Windows\System32\avqDODP.exe
  C:\Windows\System32\avqDODP.exe
  2⤵
  PID:12176
- C:\Windows\System32\ipeMkGd.exe
  C:\Windows\System32\ipeMkGd.exe
  2⤵
  PID:12208
- C:\Windows\System32\TuiaUoQ.exe
  C:\Windows\System32\TuiaUoQ.exe
  2⤵
  PID:12228
- C:\Windows\System32\gzAdZbl.exe
  C:\Windows\System32\gzAdZbl.exe
  2⤵
  PID:12252
- C:\Windows\System32\GoaWztD.exe
  C:\Windows\System32\GoaWztD.exe
  2⤵
  PID:11324
- C:\Windows\System32\UGmoNPs.exe
  C:\Windows\System32\UGmoNPs.exe
  2⤵
  PID:11372
- C:\Windows\System32\MVZZeBj.exe
  C:\Windows\System32\MVZZeBj.exe
  2⤵
  PID:11396
- C:\Windows\System32\NwlSUsA.exe
  C:\Windows\System32\NwlSUsA.exe
  2⤵
  PID:11460
- C:\Windows\System32\ndzEouz.exe
  C:\Windows\System32\ndzEouz.exe
  2⤵
  PID:11512
- C:\Windows\System32\HTEtplV.exe
  C:\Windows\System32\HTEtplV.exe
  2⤵
  PID:11488
- C:\Windows\System32\TFIVIHj.exe
  C:\Windows\System32\TFIVIHj.exe
  2⤵
  PID:11524
- C:\Windows\System32\ojHPQtO.exe
  C:\Windows\System32\ojHPQtO.exe
  2⤵
  PID:11536
- C:\Windows\System32\jMtJNOY.exe
  C:\Windows\System32\jMtJNOY.exe
  2⤵
  PID:11680
- C:\Windows\System32\YbNeQIy.exe
  C:\Windows\System32\YbNeQIy.exe
  2⤵
  PID:11700
- C:\Windows\System32\kimpccu.exe
  C:\Windows\System32\kimpccu.exe
  2⤵
  PID:11764
- C:\Windows\System32\FqQixgP.exe
  C:\Windows\System32\FqQixgP.exe
  2⤵
  PID:11900
- C:\Windows\System32\kOwFtFf.exe
  C:\Windows\System32\kOwFtFf.exe
  2⤵
  PID:11916
- C:\Windows\System32\vVotCPS.exe
  C:\Windows\System32\vVotCPS.exe
  2⤵
  PID:11948
- C:\Windows\System32\WPLDXRt.exe
  C:\Windows\System32\WPLDXRt.exe
  2⤵
  PID:12096
- C:\Windows\System32\KMRbZDL.exe
  C:\Windows\System32\KMRbZDL.exe
  2⤵
  PID:12188
- C:\Windows\System32\NDZPQJR.exe
  C:\Windows\System32\NDZPQJR.exe
  2⤵
  PID:12220
- C:\Windows\System32\vJNaxjb.exe
  C:\Windows\System32\vJNaxjb.exe
  2⤵
  PID:11380
- C:\Windows\System32\KqipWEf.exe
  C:\Windows\System32\KqipWEf.exe
  2⤵
  PID:11436
- C:\Windows\System32\DrDAYRK.exe
  C:\Windows\System32\DrDAYRK.exe
  2⤵
  PID:11496
- C:\Windows\System32\YnFJYOB.exe
  C:\Windows\System32\YnFJYOB.exe
  2⤵
  PID:11632
- C:\Windows\System32\Qtbmixf.exe
  C:\Windows\System32\Qtbmixf.exe
  2⤵
  PID:11720
- C:\Windows\System32\UPcKGrp.exe
  C:\Windows\System32\UPcKGrp.exe
  2⤵
  PID:11752
- C:\Windows\System32\NwsFjbH.exe
  C:\Windows\System32\NwsFjbH.exe
  2⤵
  PID:1880
- C:\Windows\System32\qetZnwa.exe
  C:\Windows\System32\qetZnwa.exe
  2⤵
  PID:11824
- C:\Windows\System32\fZmJDKS.exe
  C:\Windows\System32\fZmJDKS.exe
  2⤵
  PID:11888
- C:\Windows\System32\aEpxMRt.exe
  C:\Windows\System32\aEpxMRt.exe
  2⤵
  PID:12120
- C:\Windows\System32\mPHdMlD.exe
  C:\Windows\System32\mPHdMlD.exe
  2⤵
  PID:11576
- C:\Windows\System32\sqrsYkS.exe
  C:\Windows\System32\sqrsYkS.exe
  2⤵
  PID:11776
- C:\Windows\System32\nezHLjK.exe
  C:\Windows\System32\nezHLjK.exe
  2⤵
  PID:12276
- C:\Windows\System32\bLMyGLD.exe
  C:\Windows\System32\bLMyGLD.exe
  2⤵
  PID:11640
- C:\Windows\System32\UnUXHGE.exe
  C:\Windows\System32\UnUXHGE.exe
  2⤵
  PID:12172
- C:\Windows\System32\jrPUwaP.exe
  C:\Windows\System32\jrPUwaP.exe
  2⤵
  PID:12308
- C:\Windows\System32\aphaXQm.exe
  C:\Windows\System32\aphaXQm.exe
  2⤵
  PID:12340
- C:\Windows\System32\pNgfrXg.exe
  C:\Windows\System32\pNgfrXg.exe
  2⤵
  PID:12384
- C:\Windows\System32\BQMdXPm.exe
  C:\Windows\System32\BQMdXPm.exe
  2⤵
  PID:12412
- C:\Windows\System32\eHDhqkh.exe
  C:\Windows\System32\eHDhqkh.exe
  2⤵
  PID:12432
- C:\Windows\System32\TKQhltL.exe
  C:\Windows\System32\TKQhltL.exe
  2⤵
  PID:12464
- C:\Windows\System32\rqThzyZ.exe
  C:\Windows\System32\rqThzyZ.exe
  2⤵
  PID:12500
- C:\Windows\System32\SnJhzrO.exe
  C:\Windows\System32\SnJhzrO.exe
  2⤵
  PID:12524
- C:\Windows\System32\bUHwnJM.exe
  C:\Windows\System32\bUHwnJM.exe
  2⤵
  PID:12552
- C:\Windows\System32\BTxaaMa.exe
  C:\Windows\System32\BTxaaMa.exe
  2⤵
  PID:12576
- C:\Windows\System32\lMKuzjB.exe
  C:\Windows\System32\lMKuzjB.exe
  2⤵
  PID:12600
- C:\Windows\System32\dBHYLSk.exe
  C:\Windows\System32\dBHYLSk.exe
  2⤵
  PID:12640
- C:\Windows\System32\mZQCZEW.exe
  C:\Windows\System32\mZQCZEW.exe
  2⤵
  PID:12660
- C:\Windows\System32\aovQWnW.exe
  C:\Windows\System32\aovQWnW.exe
  2⤵
  PID:12684
- C:\Windows\System32\nqvZAaG.exe
  C:\Windows\System32\nqvZAaG.exe
  2⤵
  PID:12704
- C:\Windows\System32\NXnZRXg.exe
  C:\Windows\System32\NXnZRXg.exe
  2⤵
  PID:12720
- C:\Windows\System32\qjeEYZm.exe
  C:\Windows\System32\qjeEYZm.exe
  2⤵
  PID:12776
- C:\Windows\System32\QZjwaVU.exe
  C:\Windows\System32\QZjwaVU.exe
  2⤵
  PID:12796
- C:\Windows\System32\UlESdLv.exe
  C:\Windows\System32\UlESdLv.exe
  2⤵
  PID:12812
- C:\Windows\System32\AHahcEJ.exe
  C:\Windows\System32\AHahcEJ.exe
  2⤵
  PID:12832
- C:\Windows\System32\bcAVAxn.exe
  C:\Windows\System32\bcAVAxn.exe
  2⤵
  PID:12912
- C:\Windows\System32\vxCoPup.exe
  C:\Windows\System32\vxCoPup.exe
  2⤵
  PID:12928
- C:\Windows\System32\ALdJDWx.exe
  C:\Windows\System32\ALdJDWx.exe
  2⤵
  PID:12944
- C:\Windows\System32\RxbJanp.exe
  C:\Windows\System32\RxbJanp.exe
  2⤵
  PID:12964
- C:\Windows\System32\NgGjCnQ.exe
  C:\Windows\System32\NgGjCnQ.exe
  2⤵
  PID:12980
- C:\Windows\System32\XasCREP.exe
  C:\Windows\System32\XasCREP.exe
  2⤵
  PID:13004
- C:\Windows\System32\ptGcjDp.exe
  C:\Windows\System32\ptGcjDp.exe
  2⤵
  PID:13056
- C:\Windows\System32\zZopCgm.exe
  C:\Windows\System32\zZopCgm.exe
  2⤵
  PID:13092
- C:\Windows\System32\XWWaXVM.exe
  C:\Windows\System32\XWWaXVM.exe
  2⤵
  PID:13120
- C:\Windows\System32\NAiEsPG.exe
  C:\Windows\System32\NAiEsPG.exe
  2⤵
  PID:13144
- C:\Windows\System32\UyZnZlM.exe
  C:\Windows\System32\UyZnZlM.exe
  2⤵
  PID:13168
- C:\Windows\System32\uwzUTpW.exe
  C:\Windows\System32\uwzUTpW.exe
  2⤵
  PID:13188

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13284

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\DNgVXMX.exe

Filesize
1.2MB

MD5
7cd85f367752bad8b9b78b572ff71b90

SHA1
72fb322d1a4733487706c693c4681d98dd1a0639

SHA256
9c7d5f281ae2c837c32de14559b52a5924b12e72d6d9a40e787efcf973806a9e

SHA512
e5980ff8dc53a3a70a6c7f425f4e9b4b77af463776f1bb46b75e0f1935ff64b17522fe96f4db5d9a5f05e6ab10116754a56e409f855e906f75675fd13127b5cd

Download Submit
C:\Windows\System32\EPMKlBX.exe

Filesize
1.2MB

MD5
d7904cfd6e6b87ded7777eea3a26d1b2

SHA1
c98db0186a04aaff8985cf5e040eb996a45e325c

SHA256
8ac47373fee8e9d9a18f5a417e21f73a9e54f9305ae3885a9a1c04c613cbbb48

SHA512
e8ad11365c89251d7ce69208e9080f0be01a97a8d11bafc3f7ec2d8a6b3d6a8ed1e37a5b7e3e21af7ff1148b7251940ed9d36571846b79febc957d5cb4b9f645

Download Submit
C:\Windows\System32\FUaInFE.exe

Filesize
1.2MB

MD5
1f35d6b3786460a2434c7627842f1de9

SHA1
717ad938ec4922612d320481cc606eca5c9994f6

SHA256
7553d3fdd49d429f4953dde08d905226380cccf8b0e61f99122a0a094e546e95

SHA512
7c009faeb4f1e3b3fbc8b1a145fb3463f0056663059df0b6fa4040f46e4f7d23a297cf35c9cb086c391d736a60caa7864e6e116a130294cfa79079956bdfa91b

Download Submit
C:\Windows\System32\FcWKPdH.exe

Filesize
1.2MB

MD5
e84a33acf7f1bc94e4ceb8edf1ea7fe6

SHA1
9201504a1a894ebdee504e5f6ece0c2d5593459a

SHA256
4436306031f884c5f2b347598aadc5fc4448c1355d265054aa2446059c84be08

SHA512
e07f6f0d642441bf22c6055cdd9dce9320b6c38077c2bf56280414ee1e25ee249dc3b13580f06cab9b664e541fba5b52e7738e5d2cdc8a77d3ba860411bdf088

Download Submit
C:\Windows\System32\FxFGxVz.exe

Filesize
1.2MB

MD5
51c1055a1d20d15cb6be4148f0c48510

SHA1
1d13a61818fee0e0e2f7e5b8d41e6881fbd8feda

SHA256
58128a08b7e15dbd82825c7d96b91cc812ba99a8dc000c42fddb21b920ff2030

SHA512
dfb23e051832c683d07b001f5806e67e2d85efaae2cf3e36a69af12ce42d4ee7c8f2bbc31a0b8e441e1a33ec60065d8ff3802119bf6f0253011edf6cedbe0bb7

Download Submit
C:\Windows\System32\HhRRnxu.exe

Filesize
1.2MB

MD5
594e0b1cc877a0614ef045f2cada940a

SHA1
048b9c51fb6f607df91683663f1dc9e69f2fef18

SHA256
29c64631d5fd01eb1f0d6a07ea307eb3011e8db0fbe3e772a94bd1ed69ca0ab7

SHA512
3430edfe212eaaa0bb4b94c2a731709fc16335b8eebd8cf8f0180b608a208f84fa9860610e9df443a04d62d5dc8f1e4764e7c571f7371c831b2ad2b881e3a8c9

Download Submit
C:\Windows\System32\LVBqVCh.exe

Filesize
1.2MB

MD5
9407f0789a9d0c083eaf045939c66135

SHA1
ab48d49e4e7160f63b4a9593a34b655b7e433dc2

SHA256
802e279db8fdf11847fab6119822ce2c0a54fcbcf9382f3ff698da253478d82a

SHA512
711ceff497ab0f3c37eb07e9c3f0e8f90c19a49731689253f96eb24b441a17302c92bafe65668d8290bb1637c5a306de20be6173c0ce277c3250dd10376a0a75

Download Submit
C:\Windows\System32\NflkgRF.exe

Filesize
1.2MB

MD5
558b4a9bc0bdf26bb42f9fcfd17d2982

SHA1
1296c4404e7cce8a2f11323731ac3656739d7f65

SHA256
d63189d1ac48fc185b21df4a9ebb4dfa890c4a0ecd4d20b8663a429b59014bb0

SHA512
8ae183f4ad6a37dd1fe8d55b3c40ae3cc44f948ce764a06aa131af443c9dbfdef3537784b47346db2be1d99021d0e5c3f25064e4529f7f4c413b5b759fea9e51

Download Submit
C:\Windows\System32\NsEYPiU.exe

Filesize
1.2MB

MD5
2a9713b7c2b74ce7b8940ea778b1f1af

SHA1
5f919521f7a570586a6c89439fb153716e011981

SHA256
a4fb51716117272794d3a762810530969ef6ca5a53a9615cd4dd2b6d8f815c6e

SHA512
947cb33068aa74cccda9a9493ee15d40d01ba226cfbf0ef5c47a6423c8b985025d3967157d0dbe4a9fe50e9877a2ead026427e00c1fa26c8ad85941b3c64fb67

Download Submit
C:\Windows\System32\SvUZCWP.exe

Filesize
1.2MB

MD5
fcd1cacfb1159c3259f3515f710d7184

SHA1
ecc68d3c4871bac42be6b4b61c6f3d78912a6361

SHA256
d1a0ca3a22395db1bd4458bf4abe6e6ae13e4dade9ad9544f59e4fa26fc4ee52

SHA512
fd8b74be4a3f863fb94f80cd262a23ac2a3135126d3dcf1b39c861dd9c90ace68843945cf050fbe34b180165ac18f5772fac8ed70a7d05fb93ec020a57704da2

Download Submit
C:\Windows\System32\WTYqEBl.exe

Filesize
1.2MB

MD5
b1c30e085edcbddfd97f8511e552c042

SHA1
2a21ab9f6e8e9bb54e39de23f6c294a4bd7fe1da

SHA256
4b37814671362e6f77674800c93d6af6c715a5cfc8e8dca0fe2cbe306c21b95b

SHA512
59fb0a3f7e69d6c8d7ea03de10e1ac1599205d4ece69d30cafda72c64240b70783e6f240b5e06195cd6867eec32ba061c35d639993fddea1bafcc635924d54bb

Download Submit
C:\Windows\System32\XYBghpW.exe

Filesize
1.2MB

MD5
184c1711666e527f56b4095314a721d4

SHA1
3c29b28c683139d7f22b2ee3e395bc200efd99bc

SHA256
cb3e9b53a903e18f8543eef482fa569b41e7226e0215580abed376be74b3f264

SHA512
79cdf267bdf23e8b435180d7ca6f76260203c66ec8a12227fbf6fa0ee9f856e764fa9465371504af2e0b397eb27b98652d0a47dc2d6ca5f870cc9f50d14572d6

Download Submit
C:\Windows\System32\XcNLAPo.exe

Filesize
1.2MB

MD5
fb4c9589d7240f5e27665a6882433ae2

SHA1
229486f7b9e2f785618781cab7c3529ccc91a430

SHA256
185923dba3393f621cce6e94c5ce01a06e8be4d025e4f5330d2acb0b6cfd56c6

SHA512
f96b1bedf8e8ae75691e3c58d341743982eed33df2b38dfa2f21a1170f858d11e01646b06e9146b93240c3d5772b2cbaa47637820e9837f5f5bf9e62cf6e5ca7

Download Submit
C:\Windows\System32\aVRhUzn.exe

Filesize
1.2MB

MD5
3fa7e743d485db1977d4a2600db9ef1c

SHA1
2854d29878c8530ec7a2ae5f1810861a88322f8e

SHA256
3d47d928641d7e01cb292727dfddbfea91a7758f4b88f94ddf3189e160aaee78

SHA512
b3f93743ce8e5aa4258638df851fcc483057892107c6534bdc521987dcf852d7095a744cd2a439b9245d5bb593c5c164ae9438a013046328c9169053de83325e

Download Submit
C:\Windows\System32\eJiWWMB.exe

Filesize
1.2MB

MD5
cf1343046b0939c78cdfd5a3aab54cfc

SHA1
a6db5cb56c38273311b7cf19c916b3fa3adcba8d

SHA256
820ece674ab8961a3f5d044da9e630670dd3b7ff17bd8b4ff040f64fd7a34990

SHA512
e60e1f1a0fa9dd017a8e035e2e0eba1b3929ccc1dca40b11cda3423550eaf4c100aab5d1278aaa65fee7a7ff7810973cac84c2528f70ed45176abfc1779280b3

Download Submit
C:\Windows\System32\eNHeUhM.exe

Filesize
1.2MB

MD5
af134cf044c7fac20320767956649d04

SHA1
9359422a4a64889dc0423fa2d97e3d674715dd50

SHA256
2849014806a8197ee672150cfcb5e5213433d17aafe67b520216070c561d7c4b

SHA512
45b4b43b668e988eb94510930079b7576ef2190302c500554d5df5a8961bd7d268dce6accb767c8046fbece55a29f115310e1c52bf740fdaf348986558970bbc

Download Submit
C:\Windows\System32\eQjggqm.exe

Filesize
1.2MB

MD5
aaca2e129d5146e4a6279478bc4d71c7

SHA1
0ab55d0960f91f23100400d38bdee22a6e6cd39a

SHA256
d9d0f975ac7092860dc4e8ad736383ff44864a822d54399b25d7c38780364226

SHA512
e6758fc4d0e0c576321fe6cc694d087a303fa5660b5fb63bd4c890ba07f4c4c4a252fde7f49d8f0b3644a3520a150531fa353c60e6f242aa3d93d52da636a52c

Download Submit
C:\Windows\System32\ebleZFQ.exe

Filesize
1.2MB

MD5
03892ade40c2285da1433a6cda57524f

SHA1
ada32c547b507e8b410b628a398e4f3b91f5ef9d

SHA256
809fd8df5dda6efb89a47be6f36daf87e032824615c1efd1fed54344341235de

SHA512
5f92185097a8591ba096f18a72fc4efe92f689fedbc126c3fb9b35608a792442a0e65b51791bcb4567a9ce22387c55c3f17ef818409b405aa53285ca0b4f7f97

Download Submit
C:\Windows\System32\eqjMVAI.exe

Filesize
1.2MB

MD5
685a11417c05ea603b02597f52e4d369

SHA1
da5ac3368ed84a993c852edc975f30ccc8c30559

SHA256
baa5317df3af96a6d3a68c2a218fb17f0b25b5e4fd37feb5e0597017eff0e307

SHA512
bd6ed0c01b648919e733bde3c8a7581b30e28635282b6b634bee23610d64ee83e3d7f1ba4dacd5fb97b2fd4c5cc4dec9903c9e8128d06ce8eaa1b04f99f2345c

Download Submit
C:\Windows\System32\lXhKPgY.exe

Filesize
1.2MB

MD5
62a902e1fc43c301a672003a1fe41fca

SHA1
f9ed2d1bf86b25eedbd16494bf6389f144552739

SHA256
41f81d74b94814648a741fa88aa1f498467298280f2ae4cc2f0f71466f7ab934

SHA512
245a63b29b67238c9770ae063ccaa141fa1c7e25185d2f5f4af877471ee8ab084c77a399e2b3c05d3feeb316d897192262cb1687b1bf3e38eadcbfc96152a95b

Download Submit
C:\Windows\System32\rrDOkvs.exe

Filesize
1.2MB

MD5
b29fd082ee5d543aea93f3d85608afb0

SHA1
926f3eadb54322bfc4393a73a1a0275407cca271

SHA256
8cb1b48143087404f65e4f8bb646650ac7b7e7614ddcb430b273bed11845191c

SHA512
4b3bda50f15d9c8b27ddcb9896e6e295bbd9608618a7e067f3a8940e8e003576c7cc428c79f451eff74388ff1ebdcf08f4b3f2835ebd9c205c5fd71b4211896b

Download Submit
C:\Windows\System32\stiuUcs.exe

Filesize
1.2MB

MD5
595fde2123d76290946e8e7dccdc8fff

SHA1
15d7c87ce8a8c7e8f06917e799974d9588e7a592

SHA256
4efe1e8c5986e7dacde9668596bbd89c5e86984bf68b7a0e4320228cff63d892

SHA512
147652f9968519e45b7b143b9b4ef018a517c067d9943bf34647c7963f2f8fa7be2ad1c7629d1e901b7c8fec49be393f836495ea561c0920425d5fc4b7ab1ae9

Download Submit
C:\Windows\System32\tNoAlqX.exe

Filesize
1.2MB

MD5
fabba49cc25643be3331fbdc2c2e40ba

SHA1
04076403d27ce5d2cd743c4b7cda619f11f4426f

SHA256
deccb98cab64d35735814fe1e5281ec3ac75398402cacde790a3f32e406b5532

SHA512
2b7a4c74cfd3a2649f3b787409fd3568b0d13bee92afbb9cd28918a9845459789ea561fb348de2f800e0b0f80fd71adc8634b5667ce9ba9552903b4a20258b00

Download Submit
C:\Windows\System32\uuWsxov.exe

Filesize
1.2MB

MD5
de649c76b03b37535f5d34c0dc6826fe

SHA1
9be5b3fd9c6b8cc64a5b31b08af6181bcef032c4

SHA256
6749f814459d07af0db982ca9ee87535ba5893b324995d55f7b7c37cb0e686d2

SHA512
8dcfeb1277907383573207ae8c31530549c0dd89f1f1f3b15c49a2f8fec414973339c05da161b75850a078ba2d9edc294eccabcf2778315af9aa8854bc7ec19b

Download Submit
C:\Windows\System32\vUwmncj.exe

Filesize
1.2MB

MD5
8c22bafdcd7d9c9fa9b468e8db3fbdde

SHA1
3cbf92506a6e7735a7b4b289cad302f413fa0ec2

SHA256
a15b955676ed73305789d0c9ad89f84259f2d5aad0ef67659d9170df91260cb0

SHA512
46ac4d9a778a2fee2148a848f7855b269e3200797c38da23e84605f2fce8a16bcfde00715de89c90801f23713d4573827de845832b95560c9660c82da2254d0a

Download Submit
C:\Windows\System32\vjMQATU.exe

Filesize
1.2MB

MD5
0a83fbc0467490ba3ce9ccc3df219e7b

SHA1
2320f1675d1eef3aeb265f28a7c09e95c681572e

SHA256
3f952d1fc8ed87055810b5f994924a4ef5c99ad73e41b15a071e8e78c86f4b1d

SHA512
f30847c0861897d0ac6ab6e5ac98c4e077824d08d610828a263ce95f0d6541865592205216b2f384bd91388ea5fcd7ae16ed5b934c735fe735fdc0378c1a77d6

Download Submit
C:\Windows\System32\vmVkriY.exe

Filesize
1.2MB

MD5
8606bac09b930c8193e869e7a4ef4304

SHA1
38076d90c8c62cee8af2c65296a9912a19d6c6ff

SHA256
0956f6de30ff71f0e8c765342b648703baf0b532f79f0ee9699a07f1def77a21

SHA512
9f310ad189d2ccbf0520db2a26ceeed18a480bb98114642f2be803eef795bac56c6b17727cdc6ded17735c8dfcd5f0f8341cefa5ec2f430d90ca9a72329998c3

Download Submit
C:\Windows\System32\wKMBLZB.exe

Filesize
1.2MB

MD5
bc8a56858e1adb40ecd479cbf3e72ab9

SHA1
e35dff71951fcf6bc914ef8d849b1fd1497afab5

SHA256
9ede5a4dcd2c52ba197670119195fe6cbf16d6c5503e8a43dd23f5a1a8770535

SHA512
8ed31d068a22f3c51367167baa6d1aacdd20bd73ef4c41318e127e66d6652f042d5aa61b8cd074de2921fe83519421de57ccb1771618bb82d4e1f40d972508c5

Download Submit
C:\Windows\System32\wTTkBKe.exe

Filesize
1.2MB

MD5
aff3887a82ea1b344ddb893d72f07097

SHA1
228e7e02615e16d85b5b74ef4facbda2eae64a63

SHA256
abc8c14f2fcd5b87e86be840baae747e61a788e4962104fb1711dfeef7e6b961

SHA512
9a646fa9d721577f31b8b9faf09f5a52fd88d7039035d12c695a54652eddd4b30189dcba1930e06eb98eeef769dc6fc8322c062233a0430a0b8056dcbce4643d

Download Submit
C:\Windows\System32\wrosMpZ.exe

Filesize
1.2MB

MD5
a6be9254cea6329f43b83e234ff3bbf7

SHA1
553b1fdc1b51aeba1f721107697852c7e8107b34

SHA256
8249ac888b99440a128bc518d48a12fc3e8b9bbabb619e0f54ce9d39adcee948

SHA512
f9045b6223068e7cf7cabf4796008a2b00f31e1179ff66bca44b62d7953cf719e00aefbb98149484e7a422b676fd738ce3032c133c144423c8c0c0ef5a83a795

Download Submit
C:\Windows\System32\zHcclzE.exe

Filesize
1.2MB

MD5
9ec1f507745440786253d5f92f58d165

SHA1
f4ffdedd3b720228f0abc5b3c145a36b3e752732

SHA256
7bab131b35610eebcb11e4298657a13a915341fdd3700455f887b0131a970fe7

SHA512
6fbf8f8a5c4a31b7262220d717d70510a5a885423e1077ab31fa7c1c244ae07f9a8e376fd8d24f4b6e9a641ab0a6177f6dbc1f031a9d97dc488d4e23a4ca60db

Download Submit
C:\Windows\System32\zRAKnvP.exe

Filesize
1.2MB

MD5
04c5abddacab7a68b808c3ae582b9a56

SHA1
6f072e42634988abcbf70e042c8a3daa18ab5daa

SHA256
283e7aa923e583f6dd98256aef1af88354034a9b2c9948f12c868ba18a24703a

SHA512
4432031d5605b743bdb85053cfcfd7b3905ca934bb98995c774b62b6614ba81d7af5b9fe6396ae3ffac1928b5b41aec8ea1601a82dd986824aa0b8bd9aef66fd

Download Submit
C:\Windows\System32\zgHZqgr.exe

Filesize
1.2MB

MD5
432a50792e6e256d8cf6c4f9ed63bc74

SHA1
8f17bfea6f8b4b876337c4627f563cd3362f4ed9

SHA256
78c0ae2ae41a4064c01f8b576ce3d2739985840868c7d5f5b07220b21d561d59

SHA512
01282fb45171f75a7d8a2d2d20b476364e684ddf986d5307d74716a56161b069f8aca5dca2a6f83403ac03470c86792e7e61ff3a7df35242b58125b207b2381f

Download Submit
memory/372-2053-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp

Filesize
3.9MB

Download
memory/372-26-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp

Filesize
3.9MB

Download
memory/372-1988-0x00007FF7DD2E0000-0x00007FF7DD6D1000-memory.dmp

Filesize
3.9MB

Download
memory/748-2063-0x00007FF69D840000-0x00007FF69DC31000-memory.dmp

Filesize
3.9MB

Download
memory/748-63-0x00007FF69D840000-0x00007FF69DC31000-memory.dmp

Filesize
3.9MB

Download
memory/864-34-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp

Filesize
3.9MB

Download
memory/864-1987-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp

Filesize
3.9MB

Download
memory/864-2057-0x00007FF78AD40000-0x00007FF78B131000-memory.dmp

Filesize
3.9MB

Download
memory/988-15-0x00007FF680540000-0x00007FF680931000-memory.dmp

Filesize
3.9MB

Download
memory/988-2047-0x00007FF680540000-0x00007FF680931000-memory.dmp

Filesize
3.9MB

Download
memory/1080-275-0x00007FF72F670000-0x00007FF72FA61000-memory.dmp

Filesize
3.9MB

Download
memory/1080-2071-0x00007FF72F670000-0x00007FF72FA61000-memory.dmp

Filesize
3.9MB

Download
memory/1160-267-0x00007FF6142D0000-0x00007FF6146C1000-memory.dmp

Filesize
3.9MB

Download
memory/1160-2075-0x00007FF6142D0000-0x00007FF6146C1000-memory.dmp

Filesize
3.9MB

Download
memory/2244-2055-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp

Filesize
3.9MB

Download
memory/2244-1990-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp

Filesize
3.9MB

Download
memory/2244-42-0x00007FF7BE980000-0x00007FF7BED71000-memory.dmp

Filesize
3.9MB

Download
memory/2576-2067-0x00007FF77D430000-0x00007FF77D821000-memory.dmp

Filesize
3.9MB

Download
memory/2576-66-0x00007FF77D430000-0x00007FF77D821000-memory.dmp

Filesize
3.9MB

Download
memory/2576-1996-0x00007FF77D430000-0x00007FF77D821000-memory.dmp

Filesize
3.9MB

Download
memory/2584-293-0x00007FF718460000-0x00007FF718851000-memory.dmp

Filesize
3.9MB

Download
memory/2584-2093-0x00007FF718460000-0x00007FF718851000-memory.dmp

Filesize
3.9MB

Download
memory/3020-287-0x00007FF7D5A70000-0x00007FF7D5E61000-memory.dmp

Filesize
3.9MB

Download
memory/3020-2077-0x00007FF7D5A70000-0x00007FF7D5E61000-memory.dmp

Filesize
3.9MB

Download
memory/3172-1998-0x00007FF6B61E0000-0x00007FF6B65D1000-memory.dmp

Filesize
3.9MB

Download
memory/3172-1-0x000001FAE2680000-0x000001FAE2690000-memory.dmp

Filesize
64KB

Download
memory/3172-0-0x00007FF6B61E0000-0x00007FF6B65D1000-memory.dmp

Filesize
3.9MB

Download
memory/3204-16-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp

Filesize
3.9MB

Download
memory/3204-1986-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp

Filesize
3.9MB

Download
memory/3204-2049-0x00007FF7D0640000-0x00007FF7D0A31000-memory.dmp

Filesize
3.9MB

Download
memory/3428-73-0x00007FF63D6F0000-0x00007FF63DAE1000-memory.dmp

Filesize
3.9MB

Download
memory/3428-2069-0x00007FF63D6F0000-0x00007FF63DAE1000-memory.dmp

Filesize
3.9MB

Download
memory/3428-2030-0x00007FF63D6F0000-0x00007FF63DAE1000-memory.dmp

Filesize
3.9MB

Download
memory/3468-288-0x00007FF7D1FB0000-0x00007FF7D23A1000-memory.dmp

Filesize
3.9MB

Download
memory/3468-2089-0x00007FF7D1FB0000-0x00007FF7D23A1000-memory.dmp

Filesize
3.9MB

Download
memory/3516-290-0x00007FF72BC80000-0x00007FF72C071000-memory.dmp

Filesize
3.9MB

Download
memory/3516-2087-0x00007FF72BC80000-0x00007FF72C071000-memory.dmp

Filesize
3.9MB

Download
memory/3604-265-0x00007FF76EC00000-0x00007FF76EFF1000-memory.dmp

Filesize
3.9MB

Download
memory/3604-2073-0x00007FF76EC00000-0x00007FF76EFF1000-memory.dmp

Filesize
3.9MB

Download
memory/3704-292-0x00007FF75B700000-0x00007FF75BAF1000-memory.dmp

Filesize
3.9MB

Download
memory/3704-2081-0x00007FF75B700000-0x00007FF75BAF1000-memory.dmp

Filesize
3.9MB

Download
memory/3832-1992-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp

Filesize
3.9MB

Download
memory/3832-59-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp

Filesize
3.9MB

Download
memory/3832-2059-0x00007FF6A4140000-0x00007FF6A4531000-memory.dmp

Filesize
3.9MB

Download
memory/3844-1991-0x00007FF709700000-0x00007FF709AF1000-memory.dmp

Filesize
3.9MB

Download
memory/3844-2061-0x00007FF709700000-0x00007FF709AF1000-memory.dmp

Filesize
3.9MB

Download
memory/3844-56-0x00007FF709700000-0x00007FF709AF1000-memory.dmp

Filesize
3.9MB

Download
memory/3880-2085-0x00007FF6D7EA0000-0x00007FF6D8291000-memory.dmp

Filesize
3.9MB

Download
memory/3880-291-0x00007FF6D7EA0000-0x00007FF6D8291000-memory.dmp

Filesize
3.9MB

Download
memory/3956-27-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3956-1989-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3956-2051-0x00007FF64A5E0000-0x00007FF64A9D1000-memory.dmp

Filesize
3.9MB

Download
memory/4076-2091-0x00007FF6AA290000-0x00007FF6AA681000-memory.dmp

Filesize
3.9MB

Download
memory/4076-286-0x00007FF6AA290000-0x00007FF6AA681000-memory.dmp

Filesize
3.9MB

Download
memory/4332-64-0x00007FF77A2B0000-0x00007FF77A6A1000-memory.dmp

Filesize
3.9MB

Download
memory/4332-1994-0x00007FF77A2B0000-0x00007FF77A6A1000-memory.dmp

Filesize
3.9MB

Download
memory/4332-2065-0x00007FF77A2B0000-0x00007FF77A6A1000-memory.dmp

Filesize
3.9MB

Download
memory/4560-283-0x00007FF70B320000-0x00007FF70B711000-memory.dmp

Filesize
3.9MB

Download
memory/4560-2079-0x00007FF70B320000-0x00007FF70B711000-memory.dmp

Filesize
3.9MB

Download
memory/4888-2083-0x00007FF71E960000-0x00007FF71ED51000-memory.dmp

Filesize
3.9MB

Download
memory/4888-285-0x00007FF71E960000-0x00007FF71ED51000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads