xmrig | 62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e

Analysis

max time kernel
119s
max time network
119s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
11/08/2024, 21:49

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
Size

918KB
MD5

725712b3cd30d818cbb4af41dcd344f0
SHA1

6e4daccdd87b1f077f08e9e72f2222c2ffcada9c
SHA256

62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e
SHA512

5b3de1b622e9c2cf3c9f60bac962a9e3378d06c744eaee47481e5aada48f43aea841eb7999496ea78f103651f3f253732c658f15fbdded075c8fec6a13cb0134
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlia+zW7MdWz4g0YjkVZPx:knw9oUUEEDlZMAzS0I

Score

10^/10

xmrig miner persistence privilege_escalation upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 47 IoCs

miner

resource	yara_rule
behavioral2/memory/4232-294-0x00007FF778110000-0x00007FF778501000-memory.dmp	xmrig
behavioral2/memory/2596-325-0x00007FF6F0EA0000-0x00007FF6F1291000-memory.dmp	xmrig
behavioral2/memory/916-353-0x00007FF779110000-0x00007FF779501000-memory.dmp	xmrig
behavioral2/memory/4944-358-0x00007FF6099B0000-0x00007FF609DA1000-memory.dmp	xmrig
behavioral2/memory/3228-360-0x00007FF6AA9B0000-0x00007FF6AADA1000-memory.dmp	xmrig
behavioral2/memory/3244-367-0x00007FF655990000-0x00007FF655D81000-memory.dmp	xmrig
behavioral2/memory/1188-347-0x00007FF674BD0000-0x00007FF674FC1000-memory.dmp	xmrig
behavioral2/memory/5016-385-0x00007FF6A5A50000-0x00007FF6A5E41000-memory.dmp	xmrig
behavioral2/memory/1468-399-0x00007FF75E180000-0x00007FF75E571000-memory.dmp	xmrig
behavioral2/memory/2372-405-0x00007FF77E6B0000-0x00007FF77EAA1000-memory.dmp	xmrig
behavioral2/memory/5052-390-0x00007FF74C6C0000-0x00007FF74CAB1000-memory.dmp	xmrig
behavioral2/memory/1572-381-0x00007FF771150000-0x00007FF771541000-memory.dmp	xmrig
behavioral2/memory/1968-343-0x00007FF6491E0000-0x00007FF6495D1000-memory.dmp	xmrig
behavioral2/memory/3268-336-0x00007FF6377C0000-0x00007FF637BB1000-memory.dmp	xmrig
behavioral2/memory/1596-318-0x00007FF727500000-0x00007FF7278F1000-memory.dmp	xmrig
behavioral2/memory/4916-311-0x00007FF7EF1C0000-0x00007FF7EF5B1000-memory.dmp	xmrig
behavioral2/memory/4804-308-0x00007FF7A5DD0000-0x00007FF7A61C1000-memory.dmp	xmrig
behavioral2/memory/3856-303-0x00007FF7FC730000-0x00007FF7FCB21000-memory.dmp	xmrig
behavioral2/memory/4292-297-0x00007FF65DFF0000-0x00007FF65E3E1000-memory.dmp	xmrig
behavioral2/memory/920-1955-0x00007FF613900000-0x00007FF613CF1000-memory.dmp	xmrig
behavioral2/memory/628-1956-0x00007FF75C020000-0x00007FF75C411000-memory.dmp	xmrig
behavioral2/memory/3464-1957-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp	xmrig
behavioral2/memory/4708-1958-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp	xmrig
behavioral2/memory/4720-1996-0x00007FF70F940000-0x00007FF70FD31000-memory.dmp	xmrig
behavioral2/memory/920-1998-0x00007FF613900000-0x00007FF613CF1000-memory.dmp	xmrig
behavioral2/memory/628-2000-0x00007FF75C020000-0x00007FF75C411000-memory.dmp	xmrig
behavioral2/memory/3464-2004-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp	xmrig
behavioral2/memory/4708-2006-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp	xmrig
behavioral2/memory/2372-2016-0x00007FF77E6B0000-0x00007FF77EAA1000-memory.dmp	xmrig
behavioral2/memory/1596-2018-0x00007FF727500000-0x00007FF7278F1000-memory.dmp	xmrig
behavioral2/memory/1572-2036-0x00007FF771150000-0x00007FF771541000-memory.dmp	xmrig
behavioral2/memory/1468-2042-0x00007FF75E180000-0x00007FF75E571000-memory.dmp	xmrig
behavioral2/memory/5052-2040-0x00007FF74C6C0000-0x00007FF74CAB1000-memory.dmp	xmrig
behavioral2/memory/5016-2038-0x00007FF6A5A50000-0x00007FF6A5E41000-memory.dmp	xmrig
behavioral2/memory/916-2034-0x00007FF779110000-0x00007FF779501000-memory.dmp	xmrig
behavioral2/memory/3228-2032-0x00007FF6AA9B0000-0x00007FF6AADA1000-memory.dmp	xmrig
behavioral2/memory/3244-2030-0x00007FF655990000-0x00007FF655D81000-memory.dmp	xmrig
behavioral2/memory/4944-2028-0x00007FF6099B0000-0x00007FF609DA1000-memory.dmp	xmrig
behavioral2/memory/1968-2023-0x00007FF6491E0000-0x00007FF6495D1000-memory.dmp	xmrig
behavioral2/memory/2596-2026-0x00007FF6F0EA0000-0x00007FF6F1291000-memory.dmp	xmrig
behavioral2/memory/1188-2025-0x00007FF674BD0000-0x00007FF674FC1000-memory.dmp	xmrig
behavioral2/memory/3268-2024-0x00007FF6377C0000-0x00007FF637BB1000-memory.dmp	xmrig
behavioral2/memory/4232-2014-0x00007FF778110000-0x00007FF778501000-memory.dmp	xmrig
behavioral2/memory/4804-2008-0x00007FF7A5DD0000-0x00007FF7A61C1000-memory.dmp	xmrig
behavioral2/memory/3856-2012-0x00007FF7FC730000-0x00007FF7FCB21000-memory.dmp	xmrig
behavioral2/memory/4292-2010-0x00007FF65DFF0000-0x00007FF65E3E1000-memory.dmp	xmrig
behavioral2/memory/4916-2002-0x00007FF7EF1C0000-0x00007FF7EF5B1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
4720	NwbVEEj.exe
920	moFBrSM.exe
4708	BsyyVcV.exe
628	axUVbEJ.exe
3464	vGCpznM.exe
4232	LWLclOf.exe
2372	jFcZixv.exe
4292	SqqYMIo.exe
3856	MZtHJFP.exe
4804	BxGEEJd.exe
4916	zhZaqwU.exe
1596	AdKskNe.exe
2596	qsnCZSO.exe
3268	VtVjSGp.exe
1968	LtGmJtg.exe
1188	TqrUsgm.exe
916	iPaeGMJ.exe
4944	sznNKob.exe
3228	qntCWhZ.exe
3244	TOnyvnc.exe
1572	yPCjrVE.exe
5016	SfKAXWu.exe
5052	TfmPqWe.exe
1468	aSlOsdq.exe
3984	HlqLoGj.exe
3388	HmyDPje.exe
4744	GwZfTUP.exe
2884	ATgMmLa.exe
4472	baPZQHQ.exe
3272	GDlUFMQ.exe
3256	zYnBkCY.exe
4464	KyYkgEb.exe
2024	YPzFEoa.exe
3240	dTJoNXo.exe
4012	pRarWBl.exe
888	IrALSNB.exe
1144	EsFoOLZ.exe
1668	pAwNFST.exe
4892	MJhobMy.exe
1872	dfcwlhN.exe
3288	CxfGQWi.exe
1576	zRyvFSN.exe
2600	EqxoQUA.exe
4592	PrDZUWW.exe
1580	thSUpTM.exe
4600	qscWfne.exe
4328	wdXSXrd.exe
2324	YNCfikk.exe
4448	yFbbgYN.exe
2516	pLMGQUd.exe
1096	JyPxoJU.exe
3528	qdcShRq.exe
4396	MyEetTr.exe
3568	MBTKmcz.exe
1084	XQaEkmB.exe
1220	zQtshct.exe
1828	erxWyXI.exe
3664	gKPyZdk.exe
3788	qAeNKEx.exe
4332	fHamNEs.exe
2272	UwnZlzK.exe
3696	SbkxXXB.exe
3748	cwEeQtj.exe
3908	bNBvkyU.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1884-0-0x00007FF6BB740000-0x00007FF6BBB31000-memory.dmp	upx
behavioral2/files/0x00090000000233f6-5.dat	upx
behavioral2/files/0x000700000002345d-7.dat	upx
behavioral2/files/0x000700000002345e-18.dat	upx
behavioral2/memory/920-21-0x00007FF613900000-0x00007FF613CF1000-memory.dmp	upx
behavioral2/files/0x0008000000023459-22.dat	upx
behavioral2/memory/3464-31-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp	upx
behavioral2/files/0x0007000000023463-51.dat	upx
behavioral2/files/0x0007000000023464-56.dat	upx
behavioral2/files/0x0007000000023465-61.dat	upx
behavioral2/files/0x000700000002346a-86.dat	upx
behavioral2/files/0x000700000002346c-96.dat	upx
behavioral2/files/0x000700000002346e-106.dat	upx
behavioral2/files/0x0007000000023473-131.dat	upx
behavioral2/files/0x0007000000023478-156.dat	upx
behavioral2/memory/4232-294-0x00007FF778110000-0x00007FF778501000-memory.dmp	upx
behavioral2/memory/2596-325-0x00007FF6F0EA0000-0x00007FF6F1291000-memory.dmp	upx
behavioral2/memory/916-353-0x00007FF779110000-0x00007FF779501000-memory.dmp	upx
behavioral2/memory/4944-358-0x00007FF6099B0000-0x00007FF609DA1000-memory.dmp	upx
behavioral2/memory/3228-360-0x00007FF6AA9B0000-0x00007FF6AADA1000-memory.dmp	upx
behavioral2/memory/3244-367-0x00007FF655990000-0x00007FF655D81000-memory.dmp	upx
behavioral2/memory/1188-347-0x00007FF674BD0000-0x00007FF674FC1000-memory.dmp	upx
behavioral2/memory/5016-385-0x00007FF6A5A50000-0x00007FF6A5E41000-memory.dmp	upx
behavioral2/memory/1468-399-0x00007FF75E180000-0x00007FF75E571000-memory.dmp	upx
behavioral2/memory/2372-405-0x00007FF77E6B0000-0x00007FF77EAA1000-memory.dmp	upx
behavioral2/memory/5052-390-0x00007FF74C6C0000-0x00007FF74CAB1000-memory.dmp	upx
behavioral2/memory/1572-381-0x00007FF771150000-0x00007FF771541000-memory.dmp	upx
behavioral2/memory/1968-343-0x00007FF6491E0000-0x00007FF6495D1000-memory.dmp	upx
behavioral2/memory/3268-336-0x00007FF6377C0000-0x00007FF637BB1000-memory.dmp	upx
behavioral2/memory/1596-318-0x00007FF727500000-0x00007FF7278F1000-memory.dmp	upx
behavioral2/memory/4916-311-0x00007FF7EF1C0000-0x00007FF7EF5B1000-memory.dmp	upx
behavioral2/memory/4804-308-0x00007FF7A5DD0000-0x00007FF7A61C1000-memory.dmp	upx
behavioral2/memory/3856-303-0x00007FF7FC730000-0x00007FF7FCB21000-memory.dmp	upx
behavioral2/memory/4292-297-0x00007FF65DFF0000-0x00007FF65E3E1000-memory.dmp	upx
behavioral2/files/0x000700000002347a-166.dat	upx
behavioral2/files/0x0007000000023479-161.dat	upx
behavioral2/files/0x0007000000023477-151.dat	upx
behavioral2/files/0x0007000000023476-146.dat	upx
behavioral2/files/0x0007000000023475-141.dat	upx
behavioral2/files/0x0007000000023474-136.dat	upx
behavioral2/files/0x0007000000023472-129.dat	upx
behavioral2/files/0x0007000000023471-124.dat	upx
behavioral2/files/0x0007000000023470-116.dat	upx
behavioral2/files/0x000700000002346f-111.dat	upx
behavioral2/files/0x000700000002346d-101.dat	upx
behavioral2/files/0x000700000002346b-91.dat	upx
behavioral2/files/0x0007000000023469-81.dat	upx
behavioral2/files/0x0007000000023468-76.dat	upx
behavioral2/files/0x0007000000023467-71.dat	upx
behavioral2/files/0x0007000000023466-66.dat	upx
behavioral2/files/0x0007000000023462-46.dat	upx
behavioral2/files/0x0007000000023461-41.dat	upx
behavioral2/files/0x0007000000023460-36.dat	upx
behavioral2/memory/4708-32-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp	upx
behavioral2/files/0x000700000002345f-27.dat	upx
behavioral2/memory/628-25-0x00007FF75C020000-0x00007FF75C411000-memory.dmp	upx
behavioral2/memory/4720-10-0x00007FF70F940000-0x00007FF70FD31000-memory.dmp	upx
behavioral2/memory/920-1955-0x00007FF613900000-0x00007FF613CF1000-memory.dmp	upx
behavioral2/memory/628-1956-0x00007FF75C020000-0x00007FF75C411000-memory.dmp	upx
behavioral2/memory/3464-1957-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp	upx
behavioral2/memory/4708-1958-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp	upx
behavioral2/memory/4720-1996-0x00007FF70F940000-0x00007FF70FD31000-memory.dmp	upx
behavioral2/memory/920-1998-0x00007FF613900000-0x00007FF613CF1000-memory.dmp	upx
behavioral2/memory/628-2000-0x00007FF75C020000-0x00007FF75C411000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\unTWNOs.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\QyAhQqw.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\gsLszwc.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\caiVEsL.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\DgFxvvZ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\WBEyFbv.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\aAPFZfZ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\vOZoDve.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\anEHCaU.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\SIZIgFQ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\MSWgTkJ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\WRKckRQ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\MLXICwF.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\QPERCEB.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\YLlOWWQ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\xYeYESg.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\yJHeDFE.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\EuxoZfw.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\Lulwlzt.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\VssSQfe.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\OWXaQYm.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\vZIrAgn.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\slrZnXk.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\ObgSLua.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\YNCfikk.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\VezhfMO.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\cGUhhFO.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\fEmpyQH.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\TqrUsgm.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\pAwNFST.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\JyPxoJU.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\QgyyFIL.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\MtrkYJY.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\yPCjrVE.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\joljsiM.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\gSbSARQ.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\ZqLNbGa.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\CnwSWik.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\YDnzNPH.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\MUNUOlA.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\DypXjFM.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\MDxHqno.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\CxfGQWi.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\bvxBFEI.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\llsfUEj.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\VoYPzWm.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\tNLYEJv.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\AmxjvWd.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\XidDREz.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\npDHsXH.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\WiVySHE.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\CJBZzgq.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\OaQexxf.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\fWfWzyY.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\KyYkgEb.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\dfcwlhN.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\SbkxXXB.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\giVAZxH.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\zHNrlfG.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\cLPyEas.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\iohehNY.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\oNsVQRv.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\SHsvdYw.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
File created	C:\Windows\System32\fSVwIHr.exe	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe

Event Triggered Execution: Accessibility Features 1 TTPs
Windows contains accessibility features that may be used by adversaries to establish persistence and/or elevate privileges.
persistence privilege_escalation

Accessibility Features
T1546.008

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	4872	dwm.exe
Token: SeChangeNotifyPrivilege	4872	dwm.exe
Token: 33	4872	dwm.exe
Token: SeIncBasePriorityPrivilege	4872	dwm.exe
Token: SeShutdownPrivilege	4872	dwm.exe
Token: SeCreatePagefilePrivilege	4872	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1884 wrote to memory of 4720	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	86
PID 1884 wrote to memory of 4720	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	86
PID 1884 wrote to memory of 920	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	87
PID 1884 wrote to memory of 920	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	87
PID 1884 wrote to memory of 4708	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	88
PID 1884 wrote to memory of 4708	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	88
PID 1884 wrote to memory of 628	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	89
PID 1884 wrote to memory of 628	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	89
PID 1884 wrote to memory of 3464	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	90
PID 1884 wrote to memory of 3464	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	90
PID 1884 wrote to memory of 4232	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	91
PID 1884 wrote to memory of 4232	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	91
PID 1884 wrote to memory of 2372	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	92
PID 1884 wrote to memory of 2372	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	92
PID 1884 wrote to memory of 4292	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	93
PID 1884 wrote to memory of 4292	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	93
PID 1884 wrote to memory of 3856	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	94
PID 1884 wrote to memory of 3856	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	94
PID 1884 wrote to memory of 4804	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	95
PID 1884 wrote to memory of 4804	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	95
PID 1884 wrote to memory of 4916	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	96
PID 1884 wrote to memory of 4916	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	96
PID 1884 wrote to memory of 1596	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	97
PID 1884 wrote to memory of 1596	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	97
PID 1884 wrote to memory of 2596	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	98
PID 1884 wrote to memory of 2596	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	98
PID 1884 wrote to memory of 3268	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	99
PID 1884 wrote to memory of 3268	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	99
PID 1884 wrote to memory of 1968	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	100
PID 1884 wrote to memory of 1968	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	100
PID 1884 wrote to memory of 1188	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	101
PID 1884 wrote to memory of 1188	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	101
PID 1884 wrote to memory of 916	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	102
PID 1884 wrote to memory of 916	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	102
PID 1884 wrote to memory of 4944	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	103
PID 1884 wrote to memory of 4944	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	103
PID 1884 wrote to memory of 3228	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	104
PID 1884 wrote to memory of 3228	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	104
PID 1884 wrote to memory of 3244	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	105
PID 1884 wrote to memory of 3244	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	105
PID 1884 wrote to memory of 1572	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	106
PID 1884 wrote to memory of 1572	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	106
PID 1884 wrote to memory of 5016	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	107
PID 1884 wrote to memory of 5016	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	107
PID 1884 wrote to memory of 5052	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	108
PID 1884 wrote to memory of 5052	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	108
PID 1884 wrote to memory of 1468	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	109
PID 1884 wrote to memory of 1468	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	109
PID 1884 wrote to memory of 3984	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	110
PID 1884 wrote to memory of 3984	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	110
PID 1884 wrote to memory of 3388	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	111
PID 1884 wrote to memory of 3388	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	111
PID 1884 wrote to memory of 4744	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	112
PID 1884 wrote to memory of 4744	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	112
PID 1884 wrote to memory of 2884	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	113
PID 1884 wrote to memory of 2884	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	113
PID 1884 wrote to memory of 4472	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	114
PID 1884 wrote to memory of 4472	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	114
PID 1884 wrote to memory of 3272	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	115
PID 1884 wrote to memory of 3272	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	115
PID 1884 wrote to memory of 3256	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	116
PID 1884 wrote to memory of 3256	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	116
PID 1884 wrote to memory of 4464	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	117
PID 1884 wrote to memory of 4464	1884	62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe	117

C:\Users\Admin\AppData\Local\Temp\62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe
"C:\Users\Admin\AppData\Local\Temp\62c4d216804b81e44b511c94d53e4dac1882791f0f645d9dbae985c9ed03845e.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1884
- C:\Windows\System32\NwbVEEj.exe
  C:\Windows\System32\NwbVEEj.exe
  2⤵
  - Executes dropped EXE
  PID:4720
- C:\Windows\System32\moFBrSM.exe
  C:\Windows\System32\moFBrSM.exe
  2⤵
  - Executes dropped EXE
  PID:920
- C:\Windows\System32\BsyyVcV.exe
  C:\Windows\System32\BsyyVcV.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\axUVbEJ.exe
  C:\Windows\System32\axUVbEJ.exe
  2⤵
  - Executes dropped EXE
  PID:628
- C:\Windows\System32\vGCpznM.exe
  C:\Windows\System32\vGCpznM.exe
  2⤵
  - Executes dropped EXE
  PID:3464
- C:\Windows\System32\LWLclOf.exe
  C:\Windows\System32\LWLclOf.exe
  2⤵
  - Executes dropped EXE
  PID:4232
- C:\Windows\System32\jFcZixv.exe
  C:\Windows\System32\jFcZixv.exe
  2⤵
  - Executes dropped EXE
  PID:2372
- C:\Windows\System32\SqqYMIo.exe
  C:\Windows\System32\SqqYMIo.exe
  2⤵
  - Executes dropped EXE
  PID:4292
- C:\Windows\System32\MZtHJFP.exe
  C:\Windows\System32\MZtHJFP.exe
  2⤵
  - Executes dropped EXE
  PID:3856
- C:\Windows\System32\BxGEEJd.exe
  C:\Windows\System32\BxGEEJd.exe
  2⤵
  - Executes dropped EXE
  PID:4804
- C:\Windows\System32\zhZaqwU.exe
  C:\Windows\System32\zhZaqwU.exe
  2⤵
  - Executes dropped EXE
  PID:4916
- C:\Windows\System32\AdKskNe.exe
  C:\Windows\System32\AdKskNe.exe
  2⤵
  - Executes dropped EXE
  PID:1596
- C:\Windows\System32\qsnCZSO.exe
  C:\Windows\System32\qsnCZSO.exe
  2⤵
  - Executes dropped EXE
  PID:2596
- C:\Windows\System32\VtVjSGp.exe
  C:\Windows\System32\VtVjSGp.exe
  2⤵
  - Executes dropped EXE
  PID:3268
- C:\Windows\System32\LtGmJtg.exe
  C:\Windows\System32\LtGmJtg.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\TqrUsgm.exe
  C:\Windows\System32\TqrUsgm.exe
  2⤵
  - Executes dropped EXE
  PID:1188
- C:\Windows\System32\iPaeGMJ.exe
  C:\Windows\System32\iPaeGMJ.exe
  2⤵
  - Executes dropped EXE
  PID:916
- C:\Windows\System32\sznNKob.exe
  C:\Windows\System32\sznNKob.exe
  2⤵
  - Executes dropped EXE
  PID:4944
- C:\Windows\System32\qntCWhZ.exe
  C:\Windows\System32\qntCWhZ.exe
  2⤵
  - Executes dropped EXE
  PID:3228
- C:\Windows\System32\TOnyvnc.exe
  C:\Windows\System32\TOnyvnc.exe
  2⤵
  - Executes dropped EXE
  PID:3244
- C:\Windows\System32\yPCjrVE.exe
  C:\Windows\System32\yPCjrVE.exe
  2⤵
  - Executes dropped EXE
  PID:1572
- C:\Windows\System32\SfKAXWu.exe
  C:\Windows\System32\SfKAXWu.exe
  2⤵
  - Executes dropped EXE
  PID:5016
- C:\Windows\System32\TfmPqWe.exe
  C:\Windows\System32\TfmPqWe.exe
  2⤵
  - Executes dropped EXE
  PID:5052
- C:\Windows\System32\aSlOsdq.exe
  C:\Windows\System32\aSlOsdq.exe
  2⤵
  - Executes dropped EXE
  PID:1468
- C:\Windows\System32\HlqLoGj.exe
  C:\Windows\System32\HlqLoGj.exe
  2⤵
  - Executes dropped EXE
  PID:3984
- C:\Windows\System32\HmyDPje.exe
  C:\Windows\System32\HmyDPje.exe
  2⤵
  - Executes dropped EXE
  PID:3388
- C:\Windows\System32\GwZfTUP.exe
  C:\Windows\System32\GwZfTUP.exe
  2⤵
  - Executes dropped EXE
  PID:4744
- C:\Windows\System32\ATgMmLa.exe
  C:\Windows\System32\ATgMmLa.exe
  2⤵
  - Executes dropped EXE
  PID:2884
- C:\Windows\System32\baPZQHQ.exe
  C:\Windows\System32\baPZQHQ.exe
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Windows\System32\GDlUFMQ.exe
  C:\Windows\System32\GDlUFMQ.exe
  2⤵
  - Executes dropped EXE
  PID:3272
- C:\Windows\System32\zYnBkCY.exe
  C:\Windows\System32\zYnBkCY.exe
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Windows\System32\KyYkgEb.exe
  C:\Windows\System32\KyYkgEb.exe
  2⤵
  - Executes dropped EXE
  PID:4464
- C:\Windows\System32\YPzFEoa.exe
  C:\Windows\System32\YPzFEoa.exe
  2⤵
  - Executes dropped EXE
  PID:2024
- C:\Windows\System32\dTJoNXo.exe
  C:\Windows\System32\dTJoNXo.exe
  2⤵
  - Executes dropped EXE
  PID:3240
- C:\Windows\System32\pRarWBl.exe
  C:\Windows\System32\pRarWBl.exe
  2⤵
  - Executes dropped EXE
  PID:4012
- C:\Windows\System32\IrALSNB.exe
  C:\Windows\System32\IrALSNB.exe
  2⤵
  - Executes dropped EXE
  PID:888
- C:\Windows\System32\EsFoOLZ.exe
  C:\Windows\System32\EsFoOLZ.exe
  2⤵
  - Executes dropped EXE
  PID:1144
- C:\Windows\System32\pAwNFST.exe
  C:\Windows\System32\pAwNFST.exe
  2⤵
  - Executes dropped EXE
  PID:1668
- C:\Windows\System32\MJhobMy.exe
  C:\Windows\System32\MJhobMy.exe
  2⤵
  - Executes dropped EXE
  PID:4892
- C:\Windows\System32\dfcwlhN.exe
  C:\Windows\System32\dfcwlhN.exe
  2⤵
  - Executes dropped EXE
  PID:1872
- C:\Windows\System32\CxfGQWi.exe
  C:\Windows\System32\CxfGQWi.exe
  2⤵
  - Executes dropped EXE
  PID:3288
- C:\Windows\System32\zRyvFSN.exe
  C:\Windows\System32\zRyvFSN.exe
  2⤵
  - Executes dropped EXE
  PID:1576
- C:\Windows\System32\EqxoQUA.exe
  C:\Windows\System32\EqxoQUA.exe
  2⤵
  - Executes dropped EXE
  PID:2600
- C:\Windows\System32\PrDZUWW.exe
  C:\Windows\System32\PrDZUWW.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\thSUpTM.exe
  C:\Windows\System32\thSUpTM.exe
  2⤵
  - Executes dropped EXE
  PID:1580
- C:\Windows\System32\qscWfne.exe
  C:\Windows\System32\qscWfne.exe
  2⤵
  - Executes dropped EXE
  PID:4600
- C:\Windows\System32\wdXSXrd.exe
  C:\Windows\System32\wdXSXrd.exe
  2⤵
  - Executes dropped EXE
  PID:4328
- C:\Windows\System32\YNCfikk.exe
  C:\Windows\System32\YNCfikk.exe
  2⤵
  - Executes dropped EXE
  PID:2324
- C:\Windows\System32\yFbbgYN.exe
  C:\Windows\System32\yFbbgYN.exe
  2⤵
  - Executes dropped EXE
  PID:4448
- C:\Windows\System32\pLMGQUd.exe
  C:\Windows\System32\pLMGQUd.exe
  2⤵
  - Executes dropped EXE
  PID:2516
- C:\Windows\System32\JyPxoJU.exe
  C:\Windows\System32\JyPxoJU.exe
  2⤵
  - Executes dropped EXE
  PID:1096
- C:\Windows\System32\qdcShRq.exe
  C:\Windows\System32\qdcShRq.exe
  2⤵
  - Executes dropped EXE
  PID:3528
- C:\Windows\System32\MyEetTr.exe
  C:\Windows\System32\MyEetTr.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\MBTKmcz.exe
  C:\Windows\System32\MBTKmcz.exe
  2⤵
  - Executes dropped EXE
  PID:3568
- C:\Windows\System32\XQaEkmB.exe
  C:\Windows\System32\XQaEkmB.exe
  2⤵
  - Executes dropped EXE
  PID:1084
- C:\Windows\System32\zQtshct.exe
  C:\Windows\System32\zQtshct.exe
  2⤵
  - Executes dropped EXE
  PID:1220
- C:\Windows\System32\erxWyXI.exe
  C:\Windows\System32\erxWyXI.exe
  2⤵
  - Executes dropped EXE
  PID:1828
- C:\Windows\System32\gKPyZdk.exe
  C:\Windows\System32\gKPyZdk.exe
  2⤵
  - Executes dropped EXE
  PID:3664
- C:\Windows\System32\qAeNKEx.exe
  C:\Windows\System32\qAeNKEx.exe
  2⤵
  - Executes dropped EXE
  PID:3788
- C:\Windows\System32\fHamNEs.exe
  C:\Windows\System32\fHamNEs.exe
  2⤵
  - Executes dropped EXE
  PID:4332
- C:\Windows\System32\UwnZlzK.exe
  C:\Windows\System32\UwnZlzK.exe
  2⤵
  - Executes dropped EXE
  PID:2272
- C:\Windows\System32\SbkxXXB.exe
  C:\Windows\System32\SbkxXXB.exe
  2⤵
  - Executes dropped EXE
  PID:3696
- C:\Windows\System32\cwEeQtj.exe
  C:\Windows\System32\cwEeQtj.exe
  2⤵
  - Executes dropped EXE
  PID:3748
- C:\Windows\System32\bNBvkyU.exe
  C:\Windows\System32\bNBvkyU.exe
  2⤵
  - Executes dropped EXE
  PID:3908
- C:\Windows\System32\BjuGdKB.exe
  C:\Windows\System32\BjuGdKB.exe
  2⤵
  PID:1088
- C:\Windows\System32\qVvuFOk.exe
  C:\Windows\System32\qVvuFOk.exe
  2⤵
  PID:4864
- C:\Windows\System32\axeglsh.exe
  C:\Windows\System32\axeglsh.exe
  2⤵
  PID:1300
- C:\Windows\System32\kKlarcl.exe
  C:\Windows\System32\kKlarcl.exe
  2⤵
  PID:4840
- C:\Windows\System32\KEepDoI.exe
  C:\Windows\System32\KEepDoI.exe
  2⤵
  PID:3628
- C:\Windows\System32\gcuDydy.exe
  C:\Windows\System32\gcuDydy.exe
  2⤵
  PID:2692
- C:\Windows\System32\diszghA.exe
  C:\Windows\System32\diszghA.exe
  2⤵
  PID:2036
- C:\Windows\System32\XWUqxJw.exe
  C:\Windows\System32\XWUqxJw.exe
  2⤵
  PID:1880
- C:\Windows\System32\uiMiSOZ.exe
  C:\Windows\System32\uiMiSOZ.exe
  2⤵
  PID:2996
- C:\Windows\System32\EOZrdTO.exe
  C:\Windows\System32\EOZrdTO.exe
  2⤵
  PID:2828
- C:\Windows\System32\StuRCwr.exe
  C:\Windows\System32\StuRCwr.exe
  2⤵
  PID:2168
- C:\Windows\System32\BElSVNE.exe
  C:\Windows\System32\BElSVNE.exe
  2⤵
  PID:1524
- C:\Windows\System32\mddScqc.exe
  C:\Windows\System32\mddScqc.exe
  2⤵
  PID:2188
- C:\Windows\System32\uVTHKYk.exe
  C:\Windows\System32\uVTHKYk.exe
  2⤵
  PID:4380
- C:\Windows\System32\dfVAJSs.exe
  C:\Windows\System32\dfVAJSs.exe
  2⤵
  PID:4388
- C:\Windows\System32\MshxXfq.exe
  C:\Windows\System32\MshxXfq.exe
  2⤵
  PID:4020
- C:\Windows\System32\BzgkSyT.exe
  C:\Windows\System32\BzgkSyT.exe
  2⤵
  PID:5080
- C:\Windows\System32\eNFvTLb.exe
  C:\Windows\System32\eNFvTLb.exe
  2⤵
  PID:4884
- C:\Windows\System32\bGbWnZs.exe
  C:\Windows\System32\bGbWnZs.exe
  2⤵
  PID:4468
- C:\Windows\System32\lfdajtK.exe
  C:\Windows\System32\lfdajtK.exe
  2⤵
  PID:4192
- C:\Windows\System32\IsZepfQ.exe
  C:\Windows\System32\IsZepfQ.exe
  2⤵
  PID:4272
- C:\Windows\System32\pyxQsyh.exe
  C:\Windows\System32\pyxQsyh.exe
  2⤵
  PID:3740
- C:\Windows\System32\YracYeI.exe
  C:\Windows\System32\YracYeI.exe
  2⤵
  PID:1184
- C:\Windows\System32\mOfgEgT.exe
  C:\Windows\System32\mOfgEgT.exe
  2⤵
  PID:464
- C:\Windows\System32\hlChwdK.exe
  C:\Windows\System32\hlChwdK.exe
  2⤵
  PID:1716
- C:\Windows\System32\iguDgck.exe
  C:\Windows\System32\iguDgck.exe
  2⤵
  PID:1696
- C:\Windows\System32\pxfEPrr.exe
  C:\Windows\System32\pxfEPrr.exe
  2⤵
  PID:3324
- C:\Windows\System32\EFIGHkB.exe
  C:\Windows\System32\EFIGHkB.exe
  2⤵
  PID:216
- C:\Windows\System32\daoieuG.exe
  C:\Windows\System32\daoieuG.exe
  2⤵
  PID:3692
- C:\Windows\System32\OakfhDo.exe
  C:\Windows\System32\OakfhDo.exe
  2⤵
  PID:2816
- C:\Windows\System32\XDIVSXw.exe
  C:\Windows\System32\XDIVSXw.exe
  2⤵
  PID:3624
- C:\Windows\System32\giVAZxH.exe
  C:\Windows\System32\giVAZxH.exe
  2⤵
  PID:3420
- C:\Windows\System32\Dnjbwny.exe
  C:\Windows\System32\Dnjbwny.exe
  2⤵
  PID:972
- C:\Windows\System32\kKZMQPj.exe
  C:\Windows\System32\kKZMQPj.exe
  2⤵
  PID:4160
- C:\Windows\System32\RAsgfAU.exe
  C:\Windows\System32\RAsgfAU.exe
  2⤵
  PID:3744
- C:\Windows\System32\wKtKVjr.exe
  C:\Windows\System32\wKtKVjr.exe
  2⤵
  PID:3808
- C:\Windows\System32\FeRoFdy.exe
  C:\Windows\System32\FeRoFdy.exe
  2⤵
  PID:4516
- C:\Windows\System32\cIXxqPA.exe
  C:\Windows\System32\cIXxqPA.exe
  2⤵
  PID:2528
- C:\Windows\System32\TlDtuvo.exe
  C:\Windows\System32\TlDtuvo.exe
  2⤵
  PID:4612
- C:\Windows\System32\phQEuUc.exe
  C:\Windows\System32\phQEuUc.exe
  2⤵
  PID:2300
- C:\Windows\System32\BhpkPjo.exe
  C:\Windows\System32\BhpkPjo.exe
  2⤵
  PID:4844
- C:\Windows\System32\cKcrIFL.exe
  C:\Windows\System32\cKcrIFL.exe
  2⤵
  PID:5132
- C:\Windows\System32\YzGgKxE.exe
  C:\Windows\System32\YzGgKxE.exe
  2⤵
  PID:5188
- C:\Windows\System32\UlwQumY.exe
  C:\Windows\System32\UlwQumY.exe
  2⤵
  PID:5216
- C:\Windows\System32\IPmXUWB.exe
  C:\Windows\System32\IPmXUWB.exe
  2⤵
  PID:5244
- C:\Windows\System32\InGiBex.exe
  C:\Windows\System32\InGiBex.exe
  2⤵
  PID:5264
- C:\Windows\System32\hvWujGP.exe
  C:\Windows\System32\hvWujGP.exe
  2⤵
  PID:5292
- C:\Windows\System32\qqoMvAR.exe
  C:\Windows\System32\qqoMvAR.exe
  2⤵
  PID:5316
- C:\Windows\System32\THBvvMl.exe
  C:\Windows\System32\THBvvMl.exe
  2⤵
  PID:5352
- C:\Windows\System32\fbANmyk.exe
  C:\Windows\System32\fbANmyk.exe
  2⤵
  PID:5372
- C:\Windows\System32\OXPMukN.exe
  C:\Windows\System32\OXPMukN.exe
  2⤵
  PID:5388
- C:\Windows\System32\HzHgNKi.exe
  C:\Windows\System32\HzHgNKi.exe
  2⤵
  PID:5444
- C:\Windows\System32\unTWNOs.exe
  C:\Windows\System32\unTWNOs.exe
  2⤵
  PID:5492
- C:\Windows\System32\tqrgtdo.exe
  C:\Windows\System32\tqrgtdo.exe
  2⤵
  PID:5512
- C:\Windows\System32\RPdYeqz.exe
  C:\Windows\System32\RPdYeqz.exe
  2⤵
  PID:5560
- C:\Windows\System32\uONAqCE.exe
  C:\Windows\System32\uONAqCE.exe
  2⤵
  PID:5592
- C:\Windows\System32\QeUoMNr.exe
  C:\Windows\System32\QeUoMNr.exe
  2⤵
  PID:5632
- C:\Windows\System32\gYrmorX.exe
  C:\Windows\System32\gYrmorX.exe
  2⤵
  PID:5656
- C:\Windows\System32\uGITQNC.exe
  C:\Windows\System32\uGITQNC.exe
  2⤵
  PID:5676
- C:\Windows\System32\nVkHYZm.exe
  C:\Windows\System32\nVkHYZm.exe
  2⤵
  PID:5696
- C:\Windows\System32\ueecLZo.exe
  C:\Windows\System32\ueecLZo.exe
  2⤵
  PID:5712
- C:\Windows\System32\TEhkIuJ.exe
  C:\Windows\System32\TEhkIuJ.exe
  2⤵
  PID:5760
- C:\Windows\System32\XAGsKAI.exe
  C:\Windows\System32\XAGsKAI.exe
  2⤵
  PID:5792
- C:\Windows\System32\mhuHAwk.exe
  C:\Windows\System32\mhuHAwk.exe
  2⤵
  PID:5812
- C:\Windows\System32\ebadNEm.exe
  C:\Windows\System32\ebadNEm.exe
  2⤵
  PID:5836
- C:\Windows\System32\cilYsVl.exe
  C:\Windows\System32\cilYsVl.exe
  2⤵
  PID:5860
- C:\Windows\System32\SehrahH.exe
  C:\Windows\System32\SehrahH.exe
  2⤵
  PID:5912
- C:\Windows\System32\uCwKhNw.exe
  C:\Windows\System32\uCwKhNw.exe
  2⤵
  PID:5940
- C:\Windows\System32\kqqtrGq.exe
  C:\Windows\System32\kqqtrGq.exe
  2⤵
  PID:5964
- C:\Windows\System32\lUDIOFp.exe
  C:\Windows\System32\lUDIOFp.exe
  2⤵
  PID:5996
- C:\Windows\System32\JxBvAgB.exe
  C:\Windows\System32\JxBvAgB.exe
  2⤵
  PID:6016
- C:\Windows\System32\vOZoDve.exe
  C:\Windows\System32\vOZoDve.exe
  2⤵
  PID:6040
- C:\Windows\System32\VJlYGck.exe
  C:\Windows\System32\VJlYGck.exe
  2⤵
  PID:6076
- C:\Windows\System32\anEHCaU.exe
  C:\Windows\System32\anEHCaU.exe
  2⤵
  PID:6096
- C:\Windows\System32\jCACjnv.exe
  C:\Windows\System32\jCACjnv.exe
  2⤵
  PID:6116
- C:\Windows\System32\fahsppi.exe
  C:\Windows\System32\fahsppi.exe
  2⤵
  PID:4084
- C:\Windows\System32\MJKzzEU.exe
  C:\Windows\System32\MJKzzEU.exe
  2⤵
  PID:3212
- C:\Windows\System32\YDnzNPH.exe
  C:\Windows\System32\YDnzNPH.exe
  2⤵
  PID:5200
- C:\Windows\System32\ImsOcDz.exe
  C:\Windows\System32\ImsOcDz.exe
  2⤵
  PID:5252
- C:\Windows\System32\MpLbuEM.exe
  C:\Windows\System32\MpLbuEM.exe
  2⤵
  PID:5312
- C:\Windows\System32\wBbNoLI.exe
  C:\Windows\System32\wBbNoLI.exe
  2⤵
  PID:5380
- C:\Windows\System32\LybVNJB.exe
  C:\Windows\System32\LybVNJB.exe
  2⤵
  PID:5532
- C:\Windows\System32\AJgQlnz.exe
  C:\Windows\System32\AJgQlnz.exe
  2⤵
  PID:5572
- C:\Windows\System32\omJRugH.exe
  C:\Windows\System32\omJRugH.exe
  2⤵
  PID:5604
- C:\Windows\System32\nREKYkt.exe
  C:\Windows\System32\nREKYkt.exe
  2⤵
  PID:5672
- C:\Windows\System32\MUNUOlA.exe
  C:\Windows\System32\MUNUOlA.exe
  2⤵
  PID:5720
- C:\Windows\System32\rxzXQWy.exe
  C:\Windows\System32\rxzXQWy.exe
  2⤵
  PID:5780
- C:\Windows\System32\QeVXZNx.exe
  C:\Windows\System32\QeVXZNx.exe
  2⤵
  PID:5856
- C:\Windows\System32\LvbGsrp.exe
  C:\Windows\System32\LvbGsrp.exe
  2⤵
  PID:5984
- C:\Windows\System32\EuxoZfw.exe
  C:\Windows\System32\EuxoZfw.exe
  2⤵
  PID:6032
- C:\Windows\System32\yCpOsZB.exe
  C:\Windows\System32\yCpOsZB.exe
  2⤵
  PID:6084
- C:\Windows\System32\lJBaDFE.exe
  C:\Windows\System32\lJBaDFE.exe
  2⤵
  PID:5552
- C:\Windows\System32\zHNrlfG.exe
  C:\Windows\System32\zHNrlfG.exe
  2⤵
  PID:5128
- C:\Windows\System32\QyAhQqw.exe
  C:\Windows\System32\QyAhQqw.exe
  2⤵
  PID:5236
- C:\Windows\System32\gsLszwc.exe
  C:\Windows\System32\gsLszwc.exe
  2⤵
  PID:5360
- C:\Windows\System32\xWulrnI.exe
  C:\Windows\System32\xWulrnI.exe
  2⤵
  PID:5460
- C:\Windows\System32\bgEIjnJ.exe
  C:\Windows\System32\bgEIjnJ.exe
  2⤵
  PID:5524
- C:\Windows\System32\SqMYDZf.exe
  C:\Windows\System32\SqMYDZf.exe
  2⤵
  PID:5600
- C:\Windows\System32\FDRGMcd.exe
  C:\Windows\System32\FDRGMcd.exe
  2⤵
  PID:6036
- C:\Windows\System32\NfpbrWg.exe
  C:\Windows\System32\NfpbrWg.exe
  2⤵
  PID:4368
- C:\Windows\System32\EYJprhV.exe
  C:\Windows\System32\EYJprhV.exe
  2⤵
  PID:5288
- C:\Windows\System32\jdxFhZh.exe
  C:\Windows\System32\jdxFhZh.exe
  2⤵
  PID:5736
- C:\Windows\System32\OcsdIac.exe
  C:\Windows\System32\OcsdIac.exe
  2⤵
  PID:5508
- C:\Windows\System32\cLPyEas.exe
  C:\Windows\System32\cLPyEas.exe
  2⤵
  PID:5468
- C:\Windows\System32\oHEqQgy.exe
  C:\Windows\System32\oHEqQgy.exe
  2⤵
  PID:6148
- C:\Windows\System32\XzzPnqq.exe
  C:\Windows\System32\XzzPnqq.exe
  2⤵
  PID:6164
- C:\Windows\System32\TLbCxok.exe
  C:\Windows\System32\TLbCxok.exe
  2⤵
  PID:6184
- C:\Windows\System32\OuUVcOm.exe
  C:\Windows\System32\OuUVcOm.exe
  2⤵
  PID:6272
- C:\Windows\System32\aexCgHX.exe
  C:\Windows\System32\aexCgHX.exe
  2⤵
  PID:6312
- C:\Windows\System32\SEQJBgo.exe
  C:\Windows\System32\SEQJBgo.exe
  2⤵
  PID:6336
- C:\Windows\System32\yYLgkhZ.exe
  C:\Windows\System32\yYLgkhZ.exe
  2⤵
  PID:6380
- C:\Windows\System32\LvGvdfg.exe
  C:\Windows\System32\LvGvdfg.exe
  2⤵
  PID:6396
- C:\Windows\System32\taWiBEc.exe
  C:\Windows\System32\taWiBEc.exe
  2⤵
  PID:6420
- C:\Windows\System32\viLmQzQ.exe
  C:\Windows\System32\viLmQzQ.exe
  2⤵
  PID:6440
- C:\Windows\System32\SIZIgFQ.exe
  C:\Windows\System32\SIZIgFQ.exe
  2⤵
  PID:6488
- C:\Windows\System32\IfgNXfN.exe
  C:\Windows\System32\IfgNXfN.exe
  2⤵
  PID:6508
- C:\Windows\System32\TIdWCMX.exe
  C:\Windows\System32\TIdWCMX.exe
  2⤵
  PID:6540
- C:\Windows\System32\KlDCDuN.exe
  C:\Windows\System32\KlDCDuN.exe
  2⤵
  PID:6568
- C:\Windows\System32\joljsiM.exe
  C:\Windows\System32\joljsiM.exe
  2⤵
  PID:6596
- C:\Windows\System32\wkMRLGV.exe
  C:\Windows\System32\wkMRLGV.exe
  2⤵
  PID:6616
- C:\Windows\System32\jPkxQoW.exe
  C:\Windows\System32\jPkxQoW.exe
  2⤵
  PID:6632
- C:\Windows\System32\oSmczHr.exe
  C:\Windows\System32\oSmczHr.exe
  2⤵
  PID:6648
- C:\Windows\System32\EDmZMMc.exe
  C:\Windows\System32\EDmZMMc.exe
  2⤵
  PID:6672
- C:\Windows\System32\JsQPoWx.exe
  C:\Windows\System32\JsQPoWx.exe
  2⤵
  PID:6700
- C:\Windows\System32\TRFXiIP.exe
  C:\Windows\System32\TRFXiIP.exe
  2⤵
  PID:6716
- C:\Windows\System32\YDVyopg.exe
  C:\Windows\System32\YDVyopg.exe
  2⤵
  PID:6732
- C:\Windows\System32\emKpmXS.exe
  C:\Windows\System32\emKpmXS.exe
  2⤵
  PID:6752
- C:\Windows\System32\VezhfMO.exe
  C:\Windows\System32\VezhfMO.exe
  2⤵
  PID:6784
- C:\Windows\System32\susIPBP.exe
  C:\Windows\System32\susIPBP.exe
  2⤵
  PID:6812
- C:\Windows\System32\xYeYESg.exe
  C:\Windows\System32\xYeYESg.exe
  2⤵
  PID:6896
- C:\Windows\System32\VLjfoVK.exe
  C:\Windows\System32\VLjfoVK.exe
  2⤵
  PID:6936
- C:\Windows\System32\FkIFeaT.exe
  C:\Windows\System32\FkIFeaT.exe
  2⤵
  PID:6960
- C:\Windows\System32\lYGjNTC.exe
  C:\Windows\System32\lYGjNTC.exe
  2⤵
  PID:6976
- C:\Windows\System32\bvxBFEI.exe
  C:\Windows\System32\bvxBFEI.exe
  2⤵
  PID:6996
- C:\Windows\System32\wWkfnDZ.exe
  C:\Windows\System32\wWkfnDZ.exe
  2⤵
  PID:7016
- C:\Windows\System32\WyiclAZ.exe
  C:\Windows\System32\WyiclAZ.exe
  2⤵
  PID:7064
- C:\Windows\System32\FHTSsxp.exe
  C:\Windows\System32\FHTSsxp.exe
  2⤵
  PID:7092
- C:\Windows\System32\jsucUok.exe
  C:\Windows\System32\jsucUok.exe
  2⤵
  PID:7116
- C:\Windows\System32\Lulwlzt.exe
  C:\Windows\System32\Lulwlzt.exe
  2⤵
  PID:7140
- C:\Windows\System32\uGwdHtX.exe
  C:\Windows\System32\uGwdHtX.exe
  2⤵
  PID:4532
- C:\Windows\System32\eCvJzIt.exe
  C:\Windows\System32\eCvJzIt.exe
  2⤵
  PID:2444
- C:\Windows\System32\uLFdLFN.exe
  C:\Windows\System32\uLFdLFN.exe
  2⤵
  PID:3636
- C:\Windows\System32\QgyyFIL.exe
  C:\Windows\System32\QgyyFIL.exe
  2⤵
  PID:6228
- C:\Windows\System32\uSAGaQw.exe
  C:\Windows\System32\uSAGaQw.exe
  2⤵
  PID:6296
- C:\Windows\System32\gNhaBBV.exe
  C:\Windows\System32\gNhaBBV.exe
  2⤵
  PID:6388
- C:\Windows\System32\SXsZIsQ.exe
  C:\Windows\System32\SXsZIsQ.exe
  2⤵
  PID:6460
- C:\Windows\System32\LcMeMfh.exe
  C:\Windows\System32\LcMeMfh.exe
  2⤵
  PID:6520
- C:\Windows\System32\LPvIcng.exe
  C:\Windows\System32\LPvIcng.exe
  2⤵
  PID:6564
- C:\Windows\System32\OPHfXaN.exe
  C:\Windows\System32\OPHfXaN.exe
  2⤵
  PID:6628
- C:\Windows\System32\MwyKsZD.exe
  C:\Windows\System32\MwyKsZD.exe
  2⤵
  PID:6712
- C:\Windows\System32\OYLuyOv.exe
  C:\Windows\System32\OYLuyOv.exe
  2⤵
  PID:6724
- C:\Windows\System32\xqeTDpQ.exe
  C:\Windows\System32\xqeTDpQ.exe
  2⤵
  PID:6776
- C:\Windows\System32\aDOPmGA.exe
  C:\Windows\System32\aDOPmGA.exe
  2⤵
  PID:6820
- C:\Windows\System32\kYgDTMx.exe
  C:\Windows\System32\kYgDTMx.exe
  2⤵
  PID:6912
- C:\Windows\System32\NkbhiRk.exe
  C:\Windows\System32\NkbhiRk.exe
  2⤵
  PID:6956
- C:\Windows\System32\DgvCJaO.exe
  C:\Windows\System32\DgvCJaO.exe
  2⤵
  PID:6992
- C:\Windows\System32\bXydEWc.exe
  C:\Windows\System32\bXydEWc.exe
  2⤵
  PID:7036
- C:\Windows\System32\xYeCJaT.exe
  C:\Windows\System32\xYeCJaT.exe
  2⤵
  PID:3920
- C:\Windows\System32\SQICrJL.exe
  C:\Windows\System32\SQICrJL.exe
  2⤵
  PID:7108
- C:\Windows\System32\BfqQhcj.exe
  C:\Windows\System32\BfqQhcj.exe
  2⤵
  PID:2464
- C:\Windows\System32\fcvBJbk.exe
  C:\Windows\System32\fcvBJbk.exe
  2⤵
  PID:7160
- C:\Windows\System32\yJHeDFE.exe
  C:\Windows\System32\yJHeDFE.exe
  2⤵
  PID:5668
- C:\Windows\System32\qChNKXL.exe
  C:\Windows\System32\qChNKXL.exe
  2⤵
  PID:6464
- C:\Windows\System32\XZODnFV.exe
  C:\Windows\System32\XZODnFV.exe
  2⤵
  PID:6560
- C:\Windows\System32\mmwXLbO.exe
  C:\Windows\System32\mmwXLbO.exe
  2⤵
  PID:6612
- C:\Windows\System32\vtMTbXK.exe
  C:\Windows\System32\vtMTbXK.exe
  2⤵
  PID:6796
- C:\Windows\System32\vsNJMux.exe
  C:\Windows\System32\vsNJMux.exe
  2⤵
  PID:5076
- C:\Windows\System32\WFasnSK.exe
  C:\Windows\System32\WFasnSK.exe
  2⤵
  PID:2620
- C:\Windows\System32\AsJLjms.exe
  C:\Windows\System32\AsJLjms.exe
  2⤵
  PID:5928
- C:\Windows\System32\FgJFAtu.exe
  C:\Windows\System32\FgJFAtu.exe
  2⤵
  PID:5156
- C:\Windows\System32\AgwstKf.exe
  C:\Windows\System32\AgwstKf.exe
  2⤵
  PID:6640
- C:\Windows\System32\BVNmnOT.exe
  C:\Windows\System32\BVNmnOT.exe
  2⤵
  PID:6696
- C:\Windows\System32\npDHsXH.exe
  C:\Windows\System32\npDHsXH.exe
  2⤵
  PID:1812
- C:\Windows\System32\pPtzsyq.exe
  C:\Windows\System32\pPtzsyq.exe
  2⤵
  PID:7184
- C:\Windows\System32\gbtmtsW.exe
  C:\Windows\System32\gbtmtsW.exe
  2⤵
  PID:7208
- C:\Windows\System32\ntXuDzo.exe
  C:\Windows\System32\ntXuDzo.exe
  2⤵
  PID:7236
- C:\Windows\System32\HPEwhYv.exe
  C:\Windows\System32\HPEwhYv.exe
  2⤵
  PID:7264
- C:\Windows\System32\NtSRjxy.exe
  C:\Windows\System32\NtSRjxy.exe
  2⤵
  PID:7280
- C:\Windows\System32\QhgeLdo.exe
  C:\Windows\System32\QhgeLdo.exe
  2⤵
  PID:7300
- C:\Windows\System32\eeamIog.exe
  C:\Windows\System32\eeamIog.exe
  2⤵
  PID:7328
- C:\Windows\System32\TJMIYnL.exe
  C:\Windows\System32\TJMIYnL.exe
  2⤵
  PID:7380
- C:\Windows\System32\hqKSkUa.exe
  C:\Windows\System32\hqKSkUa.exe
  2⤵
  PID:7416
- C:\Windows\System32\WeHuAna.exe
  C:\Windows\System32\WeHuAna.exe
  2⤵
  PID:7440
- C:\Windows\System32\EGXQdtz.exe
  C:\Windows\System32\EGXQdtz.exe
  2⤵
  PID:7456
- C:\Windows\System32\KKpMoSQ.exe
  C:\Windows\System32\KKpMoSQ.exe
  2⤵
  PID:7472
- C:\Windows\System32\ZoJDIOm.exe
  C:\Windows\System32\ZoJDIOm.exe
  2⤵
  PID:7492
- C:\Windows\System32\BZQxQNw.exe
  C:\Windows\System32\BZQxQNw.exe
  2⤵
  PID:7536
- C:\Windows\System32\DNGPUbv.exe
  C:\Windows\System32\DNGPUbv.exe
  2⤵
  PID:7552
- C:\Windows\System32\qvrQOOT.exe
  C:\Windows\System32\qvrQOOT.exe
  2⤵
  PID:7572
- C:\Windows\System32\edtzXlM.exe
  C:\Windows\System32\edtzXlM.exe
  2⤵
  PID:7592
- C:\Windows\System32\KWgItjr.exe
  C:\Windows\System32\KWgItjr.exe
  2⤵
  PID:7608
- C:\Windows\System32\KWXIIJy.exe
  C:\Windows\System32\KWXIIJy.exe
  2⤵
  PID:7624
- C:\Windows\System32\vfQawnk.exe
  C:\Windows\System32\vfQawnk.exe
  2⤵
  PID:7652
- C:\Windows\System32\MtrkYJY.exe
  C:\Windows\System32\MtrkYJY.exe
  2⤵
  PID:7668
- C:\Windows\System32\iQmhKDL.exe
  C:\Windows\System32\iQmhKDL.exe
  2⤵
  PID:7724
- C:\Windows\System32\NgaTlDG.exe
  C:\Windows\System32\NgaTlDG.exe
  2⤵
  PID:7756
- C:\Windows\System32\YLlOWWQ.exe
  C:\Windows\System32\YLlOWWQ.exe
  2⤵
  PID:7772
- C:\Windows\System32\dTZtisr.exe
  C:\Windows\System32\dTZtisr.exe
  2⤵
  PID:7788
- C:\Windows\System32\NpQaJTG.exe
  C:\Windows\System32\NpQaJTG.exe
  2⤵
  PID:7808
- C:\Windows\System32\LOTpUfm.exe
  C:\Windows\System32\LOTpUfm.exe
  2⤵
  PID:7876
- C:\Windows\System32\tarutTX.exe
  C:\Windows\System32\tarutTX.exe
  2⤵
  PID:7904
- C:\Windows\System32\SxviWEh.exe
  C:\Windows\System32\SxviWEh.exe
  2⤵
  PID:7920
- C:\Windows\System32\mjZSbRk.exe
  C:\Windows\System32\mjZSbRk.exe
  2⤵
  PID:7976
- C:\Windows\System32\lIjdgNY.exe
  C:\Windows\System32\lIjdgNY.exe
  2⤵
  PID:8000
- C:\Windows\System32\SWfMgLk.exe
  C:\Windows\System32\SWfMgLk.exe
  2⤵
  PID:8016
- C:\Windows\System32\Chonbbn.exe
  C:\Windows\System32\Chonbbn.exe
  2⤵
  PID:8068
- C:\Windows\System32\kMtKxCZ.exe
  C:\Windows\System32\kMtKxCZ.exe
  2⤵
  PID:8112
- C:\Windows\System32\GYBbTNF.exe
  C:\Windows\System32\GYBbTNF.exe
  2⤵
  PID:8132
- C:\Windows\System32\VssSQfe.exe
  C:\Windows\System32\VssSQfe.exe
  2⤵
  PID:8152
- C:\Windows\System32\YBRSDyh.exe
  C:\Windows\System32\YBRSDyh.exe
  2⤵
  PID:6480
- C:\Windows\System32\trEWrSM.exe
  C:\Windows\System32\trEWrSM.exe
  2⤵
  PID:7204
- C:\Windows\System32\bbWKYGd.exe
  C:\Windows\System32\bbWKYGd.exe
  2⤵
  PID:7252
- C:\Windows\System32\DgFxvvZ.exe
  C:\Windows\System32\DgFxvvZ.exe
  2⤵
  PID:7320
- C:\Windows\System32\MSWgTkJ.exe
  C:\Windows\System32\MSWgTkJ.exe
  2⤵
  PID:7356
- C:\Windows\System32\RmArsHI.exe
  C:\Windows\System32\RmArsHI.exe
  2⤵
  PID:7448
- C:\Windows\System32\lmvoBSt.exe
  C:\Windows\System32\lmvoBSt.exe
  2⤵
  PID:7548
- C:\Windows\System32\ytaGOZm.exe
  C:\Windows\System32\ytaGOZm.exe
  2⤵
  PID:7632
- C:\Windows\System32\HjfiaIs.exe
  C:\Windows\System32\HjfiaIs.exe
  2⤵
  PID:7640
- C:\Windows\System32\kqJJIro.exe
  C:\Windows\System32\kqJJIro.exe
  2⤵
  PID:7684
- C:\Windows\System32\NYLpaEo.exe
  C:\Windows\System32\NYLpaEo.exe
  2⤵
  PID:7700
- C:\Windows\System32\hwCRQTU.exe
  C:\Windows\System32\hwCRQTU.exe
  2⤵
  PID:7784
- C:\Windows\System32\PBSDhtK.exe
  C:\Windows\System32\PBSDhtK.exe
  2⤵
  PID:7940
- C:\Windows\System32\EBaQFfN.exe
  C:\Windows\System32\EBaQFfN.exe
  2⤵
  PID:7996
- C:\Windows\System32\TXmfIXk.exe
  C:\Windows\System32\TXmfIXk.exe
  2⤵
  PID:8088
- C:\Windows\System32\ACjEVvH.exe
  C:\Windows\System32\ACjEVvH.exe
  2⤵
  PID:8128
- C:\Windows\System32\AxqNzTY.exe
  C:\Windows\System32\AxqNzTY.exe
  2⤵
  PID:8164
- C:\Windows\System32\HiVRIoy.exe
  C:\Windows\System32\HiVRIoy.exe
  2⤵
  PID:7224
- C:\Windows\System32\VuVvCwm.exe
  C:\Windows\System32\VuVvCwm.exe
  2⤵
  PID:7412
- C:\Windows\System32\rJTXzPc.exe
  C:\Windows\System32\rJTXzPc.exe
  2⤵
  PID:7544
- C:\Windows\System32\AKQxzcO.exe
  C:\Windows\System32\AKQxzcO.exe
  2⤵
  PID:7780
- C:\Windows\System32\DypXjFM.exe
  C:\Windows\System32\DypXjFM.exe
  2⤵
  PID:7864
- C:\Windows\System32\HodLOsK.exe
  C:\Windows\System32\HodLOsK.exe
  2⤵
  PID:8120
- C:\Windows\System32\VCAjOMt.exe
  C:\Windows\System32\VCAjOMt.exe
  2⤵
  PID:8148
- C:\Windows\System32\OaOsgyZ.exe
  C:\Windows\System32\OaOsgyZ.exe
  2⤵
  PID:7584
- C:\Windows\System32\AsAPdZb.exe
  C:\Windows\System32\AsAPdZb.exe
  2⤵
  PID:8080
- C:\Windows\System32\ByHhCCX.exe
  C:\Windows\System32\ByHhCCX.exe
  2⤵
  PID:7820
- C:\Windows\System32\WDhNRkB.exe
  C:\Windows\System32\WDhNRkB.exe
  2⤵
  PID:7172
- C:\Windows\System32\QwrxKNA.exe
  C:\Windows\System32\QwrxKNA.exe
  2⤵
  PID:8220
- C:\Windows\System32\rYxUcwG.exe
  C:\Windows\System32\rYxUcwG.exe
  2⤵
  PID:8236
- C:\Windows\System32\JqQXudK.exe
  C:\Windows\System32\JqQXudK.exe
  2⤵
  PID:8260
- C:\Windows\System32\aDoWwoR.exe
  C:\Windows\System32\aDoWwoR.exe
  2⤵
  PID:8280
- C:\Windows\System32\LlhAbmO.exe
  C:\Windows\System32\LlhAbmO.exe
  2⤵
  PID:8328
- C:\Windows\System32\pnqEfGi.exe
  C:\Windows\System32\pnqEfGi.exe
  2⤵
  PID:8348
- C:\Windows\System32\AaCRotO.exe
  C:\Windows\System32\AaCRotO.exe
  2⤵
  PID:8364
- C:\Windows\System32\VrKCedU.exe
  C:\Windows\System32\VrKCedU.exe
  2⤵
  PID:8392
- C:\Windows\System32\rVGpDyu.exe
  C:\Windows\System32\rVGpDyu.exe
  2⤵
  PID:8448
- C:\Windows\System32\yPjbOXO.exe
  C:\Windows\System32\yPjbOXO.exe
  2⤵
  PID:8492
- C:\Windows\System32\bJykfZP.exe
  C:\Windows\System32\bJykfZP.exe
  2⤵
  PID:8524
- C:\Windows\System32\tzcrGpy.exe
  C:\Windows\System32\tzcrGpy.exe
  2⤵
  PID:8548
- C:\Windows\System32\ybboxzZ.exe
  C:\Windows\System32\ybboxzZ.exe
  2⤵
  PID:8568
- C:\Windows\System32\BWZFMAN.exe
  C:\Windows\System32\BWZFMAN.exe
  2⤵
  PID:8608
- C:\Windows\System32\ythdOQY.exe
  C:\Windows\System32\ythdOQY.exe
  2⤵
  PID:8632
- C:\Windows\System32\AOyzSuN.exe
  C:\Windows\System32\AOyzSuN.exe
  2⤵
  PID:8648
- C:\Windows\System32\llsfUEj.exe
  C:\Windows\System32\llsfUEj.exe
  2⤵
  PID:8668
- C:\Windows\System32\PNrbnin.exe
  C:\Windows\System32\PNrbnin.exe
  2⤵
  PID:8716
- C:\Windows\System32\BHDshpY.exe
  C:\Windows\System32\BHDshpY.exe
  2⤵
  PID:8748
- C:\Windows\System32\umNzDNQ.exe
  C:\Windows\System32\umNzDNQ.exe
  2⤵
  PID:8772
- C:\Windows\System32\yfkidOz.exe
  C:\Windows\System32\yfkidOz.exe
  2⤵
  PID:8800
- C:\Windows\System32\hqsTJjZ.exe
  C:\Windows\System32\hqsTJjZ.exe
  2⤵
  PID:8828
- C:\Windows\System32\yudIIMI.exe
  C:\Windows\System32\yudIIMI.exe
  2⤵
  PID:8848
- C:\Windows\System32\WBEyFbv.exe
  C:\Windows\System32\WBEyFbv.exe
  2⤵
  PID:8872
- C:\Windows\System32\AaeFyEN.exe
  C:\Windows\System32\AaeFyEN.exe
  2⤵
  PID:8892
- C:\Windows\System32\OXCsZex.exe
  C:\Windows\System32\OXCsZex.exe
  2⤵
  PID:8932
- C:\Windows\System32\uiMbskQ.exe
  C:\Windows\System32\uiMbskQ.exe
  2⤵
  PID:8948
- C:\Windows\System32\iohehNY.exe
  C:\Windows\System32\iohehNY.exe
  2⤵
  PID:8984
- C:\Windows\System32\Rmlqtak.exe
  C:\Windows\System32\Rmlqtak.exe
  2⤵
  PID:9032
- C:\Windows\System32\HENGhKZ.exe
  C:\Windows\System32\HENGhKZ.exe
  2⤵
  PID:9056
- C:\Windows\System32\BohVQZQ.exe
  C:\Windows\System32\BohVQZQ.exe
  2⤵
  PID:9072
- C:\Windows\System32\cTHNhTJ.exe
  C:\Windows\System32\cTHNhTJ.exe
  2⤵
  PID:9100
- C:\Windows\System32\JpBkWeR.exe
  C:\Windows\System32\JpBkWeR.exe
  2⤵
  PID:9140
- C:\Windows\System32\RyBYnzI.exe
  C:\Windows\System32\RyBYnzI.exe
  2⤵
  PID:9164
- C:\Windows\System32\WRKckRQ.exe
  C:\Windows\System32\WRKckRQ.exe
  2⤵
  PID:9208
- C:\Windows\System32\OtosnhG.exe
  C:\Windows\System32\OtosnhG.exe
  2⤵
  PID:8200
- C:\Windows\System32\JOSvHJI.exe
  C:\Windows\System32\JOSvHJI.exe
  2⤵
  PID:8256
- C:\Windows\System32\ZHMjPCR.exe
  C:\Windows\System32\ZHMjPCR.exe
  2⤵
  PID:8344
- C:\Windows\System32\AAjbPRx.exe
  C:\Windows\System32\AAjbPRx.exe
  2⤵
  PID:8428
- C:\Windows\System32\KWKAUNk.exe
  C:\Windows\System32\KWKAUNk.exe
  2⤵
  PID:8468
- C:\Windows\System32\hjOxiwX.exe
  C:\Windows\System32\hjOxiwX.exe
  2⤵
  PID:8516
- C:\Windows\System32\lKSEMMR.exe
  C:\Windows\System32\lKSEMMR.exe
  2⤵
  PID:8584
- C:\Windows\System32\fWfWzyY.exe
  C:\Windows\System32\fWfWzyY.exe
  2⤵
  PID:8624
- C:\Windows\System32\OZsgavY.exe
  C:\Windows\System32\OZsgavY.exe
  2⤵
  PID:8728
- C:\Windows\System32\ltRLJit.exe
  C:\Windows\System32\ltRLJit.exe
  2⤵
  PID:8816
- C:\Windows\System32\tfCGzfr.exe
  C:\Windows\System32\tfCGzfr.exe
  2⤵
  PID:8868
- C:\Windows\System32\EnxvRVp.exe
  C:\Windows\System32\EnxvRVp.exe
  2⤵
  PID:8956
- C:\Windows\System32\TRaSMep.exe
  C:\Windows\System32\TRaSMep.exe
  2⤵
  PID:8940
- C:\Windows\System32\ykDaYlB.exe
  C:\Windows\System32\ykDaYlB.exe
  2⤵
  PID:9012
- C:\Windows\System32\bdSwfgI.exe
  C:\Windows\System32\bdSwfgI.exe
  2⤵
  PID:9148
- C:\Windows\System32\YAZoIQK.exe
  C:\Windows\System32\YAZoIQK.exe
  2⤵
  PID:9180
- C:\Windows\System32\dfBLkTZ.exe
  C:\Windows\System32\dfBLkTZ.exe
  2⤵
  PID:8228
- C:\Windows\System32\xkpRMbF.exe
  C:\Windows\System32\xkpRMbF.exe
  2⤵
  PID:8340
- C:\Windows\System32\qJJecvk.exe
  C:\Windows\System32\qJJecvk.exe
  2⤵
  PID:8560
- C:\Windows\System32\ENRGXbq.exe
  C:\Windows\System32\ENRGXbq.exe
  2⤵
  PID:8640
- C:\Windows\System32\yHmTgJg.exe
  C:\Windows\System32\yHmTgJg.exe
  2⤵
  PID:8732
- C:\Windows\System32\ZqLNbGa.exe
  C:\Windows\System32\ZqLNbGa.exe
  2⤵
  PID:8860
- C:\Windows\System32\dDmpxFw.exe
  C:\Windows\System32\dDmpxFw.exe
  2⤵
  PID:8968
- C:\Windows\System32\maDwmUf.exe
  C:\Windows\System32\maDwmUf.exe
  2⤵
  PID:9172
- C:\Windows\System32\GzZazWe.exe
  C:\Windows\System32\GzZazWe.exe
  2⤵
  PID:8536
- C:\Windows\System32\ePfUydN.exe
  C:\Windows\System32\ePfUydN.exe
  2⤵
  PID:8664
- C:\Windows\System32\HhMsinV.exe
  C:\Windows\System32\HhMsinV.exe
  2⤵
  PID:9256
- C:\Windows\System32\FtkEXjE.exe
  C:\Windows\System32\FtkEXjE.exe
  2⤵
  PID:9280
- C:\Windows\System32\sWTsLUQ.exe
  C:\Windows\System32\sWTsLUQ.exe
  2⤵
  PID:9308
- C:\Windows\System32\QnXRyzq.exe
  C:\Windows\System32\QnXRyzq.exe
  2⤵
  PID:9348
- C:\Windows\System32\yTaAuLW.exe
  C:\Windows\System32\yTaAuLW.exe
  2⤵
  PID:9364
- C:\Windows\System32\RgUtWCO.exe
  C:\Windows\System32\RgUtWCO.exe
  2⤵
  PID:9384
- C:\Windows\System32\OdhOhgn.exe
  C:\Windows\System32\OdhOhgn.exe
  2⤵
  PID:9420
- C:\Windows\System32\HBTIHQD.exe
  C:\Windows\System32\HBTIHQD.exe
  2⤵
  PID:9448
- C:\Windows\System32\VoYPzWm.exe
  C:\Windows\System32\VoYPzWm.exe
  2⤵
  PID:9472
- C:\Windows\System32\DdIvqyA.exe
  C:\Windows\System32\DdIvqyA.exe
  2⤵
  PID:9504
- C:\Windows\System32\yNfaVIM.exe
  C:\Windows\System32\yNfaVIM.exe
  2⤵
  PID:9552
- C:\Windows\System32\nDfoVoa.exe
  C:\Windows\System32\nDfoVoa.exe
  2⤵
  PID:9576
- C:\Windows\System32\faATMsb.exe
  C:\Windows\System32\faATMsb.exe
  2⤵
  PID:9596
- C:\Windows\System32\tvIZiEN.exe
  C:\Windows\System32\tvIZiEN.exe
  2⤵
  PID:9624
- C:\Windows\System32\KuRVyIM.exe
  C:\Windows\System32\KuRVyIM.exe
  2⤵
  PID:9656
- C:\Windows\System32\hxZFuZP.exe
  C:\Windows\System32\hxZFuZP.exe
  2⤵
  PID:9688
- C:\Windows\System32\DQGvFZA.exe
  C:\Windows\System32\DQGvFZA.exe
  2⤵
  PID:9716
- C:\Windows\System32\tGxfvye.exe
  C:\Windows\System32\tGxfvye.exe
  2⤵
  PID:9740
- C:\Windows\System32\ldvKWpJ.exe
  C:\Windows\System32\ldvKWpJ.exe
  2⤵
  PID:9760
- C:\Windows\System32\YawiIUp.exe
  C:\Windows\System32\YawiIUp.exe
  2⤵
  PID:9800
- C:\Windows\System32\oNsVQRv.exe
  C:\Windows\System32\oNsVQRv.exe
  2⤵
  PID:9828
- C:\Windows\System32\MfmqXoT.exe
  C:\Windows\System32\MfmqXoT.exe
  2⤵
  PID:9852
- C:\Windows\System32\SHsvdYw.exe
  C:\Windows\System32\SHsvdYw.exe
  2⤵
  PID:9872
- C:\Windows\System32\bxsoeJC.exe
  C:\Windows\System32\bxsoeJC.exe
  2⤵
  PID:9900
- C:\Windows\System32\wMBHUFF.exe
  C:\Windows\System32\wMBHUFF.exe
  2⤵
  PID:9924
- C:\Windows\System32\naTosRS.exe
  C:\Windows\System32\naTosRS.exe
  2⤵
  PID:9944
- C:\Windows\System32\nwCjQnM.exe
  C:\Windows\System32\nwCjQnM.exe
  2⤵
  PID:9964
- C:\Windows\System32\XjtDxIC.exe
  C:\Windows\System32\XjtDxIC.exe
  2⤵
  PID:9988
- C:\Windows\System32\TyalUud.exe
  C:\Windows\System32\TyalUud.exe
  2⤵
  PID:10036
- C:\Windows\System32\BPAyIXw.exe
  C:\Windows\System32\BPAyIXw.exe
  2⤵
  PID:10056
- C:\Windows\System32\AfIlnfM.exe
  C:\Windows\System32\AfIlnfM.exe
  2⤵
  PID:10076
- C:\Windows\System32\RwOKFHt.exe
  C:\Windows\System32\RwOKFHt.exe
  2⤵
  PID:10104
- C:\Windows\System32\vFBbRkD.exe
  C:\Windows\System32\vFBbRkD.exe
  2⤵
  PID:10124
- C:\Windows\System32\dCsbGKp.exe
  C:\Windows\System32\dCsbGKp.exe
  2⤵
  PID:10144
- C:\Windows\System32\dAbKLSf.exe
  C:\Windows\System32\dAbKLSf.exe
  2⤵
  PID:10172
- C:\Windows\System32\KDEIMxr.exe
  C:\Windows\System32\KDEIMxr.exe
  2⤵
  PID:10192
- C:\Windows\System32\OWXaQYm.exe
  C:\Windows\System32\OWXaQYm.exe
  2⤵
  PID:9232
- C:\Windows\System32\PvmjSmU.exe
  C:\Windows\System32\PvmjSmU.exe
  2⤵
  PID:9240
- C:\Windows\System32\sXyaHDe.exe
  C:\Windows\System32\sXyaHDe.exe
  2⤵
  PID:9292
- C:\Windows\System32\ogyuUzw.exe
  C:\Windows\System32\ogyuUzw.exe
  2⤵
  PID:9372
- C:\Windows\System32\wrEFcpE.exe
  C:\Windows\System32\wrEFcpE.exe
  2⤵
  PID:9440
- C:\Windows\System32\dsqLgEJ.exe
  C:\Windows\System32\dsqLgEJ.exe
  2⤵
  PID:9488
- C:\Windows\System32\BYsZhGk.exe
  C:\Windows\System32\BYsZhGk.exe
  2⤵
  PID:9588
- C:\Windows\System32\XVNNTEh.exe
  C:\Windows\System32\XVNNTEh.exe
  2⤵
  PID:9652
- C:\Windows\System32\SwqcCAV.exe
  C:\Windows\System32\SwqcCAV.exe
  2⤵
  PID:9732
- C:\Windows\System32\ojTWzvx.exe
  C:\Windows\System32\ojTWzvx.exe
  2⤵
  PID:9780
- C:\Windows\System32\aPYarCe.exe
  C:\Windows\System32\aPYarCe.exe
  2⤵
  PID:9824
- C:\Windows\System32\NnblBJn.exe
  C:\Windows\System32\NnblBJn.exe
  2⤵
  PID:9884
- C:\Windows\System32\opSoGBX.exe
  C:\Windows\System32\opSoGBX.exe
  2⤵
  PID:9960
- C:\Windows\System32\gnVAXaO.exe
  C:\Windows\System32\gnVAXaO.exe
  2⤵
  PID:10048
- C:\Windows\System32\mGGndfT.exe
  C:\Windows\System32\mGGndfT.exe
  2⤵
  PID:10072
- C:\Windows\System32\CpKdBdX.exe
  C:\Windows\System32\CpKdBdX.exe
  2⤵
  PID:10140
- C:\Windows\System32\rigsSyS.exe
  C:\Windows\System32\rigsSyS.exe
  2⤵
  PID:10224
- C:\Windows\System32\YFNaoHi.exe
  C:\Windows\System32\YFNaoHi.exe
  2⤵
  PID:10208
- C:\Windows\System32\XVFEFnP.exe
  C:\Windows\System32\XVFEFnP.exe
  2⤵
  PID:9288
- C:\Windows\System32\NkbfKlP.exe
  C:\Windows\System32\NkbfKlP.exe
  2⤵
  PID:8504
- C:\Windows\System32\PNVEjsq.exe
  C:\Windows\System32\PNVEjsq.exe
  2⤵
  PID:9520
- C:\Windows\System32\HHfvnGh.exe
  C:\Windows\System32\HHfvnGh.exe
  2⤵
  PID:9756
- C:\Windows\System32\cGUhhFO.exe
  C:\Windows\System32\cGUhhFO.exe
  2⤵
  PID:9788
- C:\Windows\System32\rgfNhIK.exe
  C:\Windows\System32\rgfNhIK.exe
  2⤵
  PID:10016
- C:\Windows\System32\vRMedVz.exe
  C:\Windows\System32\vRMedVz.exe
  2⤵
  PID:10112
- C:\Windows\System32\HxNWeeS.exe
  C:\Windows\System32\HxNWeeS.exe
  2⤵
  PID:9920
- C:\Windows\System32\MizteEv.exe
  C:\Windows\System32\MizteEv.exe
  2⤵
  PID:9864
- C:\Windows\System32\fJApgyK.exe
  C:\Windows\System32\fJApgyK.exe
  2⤵
  PID:10136
- C:\Windows\System32\AOARAvA.exe
  C:\Windows\System32\AOARAvA.exe
  2⤵
  PID:9768
- C:\Windows\System32\WiVySHE.exe
  C:\Windows\System32\WiVySHE.exe
  2⤵
  PID:10252
- C:\Windows\System32\ItdgZmt.exe
  C:\Windows\System32\ItdgZmt.exe
  2⤵
  PID:10280
- C:\Windows\System32\ZFoMdOr.exe
  C:\Windows\System32\ZFoMdOr.exe
  2⤵
  PID:10300
- C:\Windows\System32\iUZbGTC.exe
  C:\Windows\System32\iUZbGTC.exe
  2⤵
  PID:10324
- C:\Windows\System32\wWQwWhX.exe
  C:\Windows\System32\wWQwWhX.exe
  2⤵
  PID:10352
- C:\Windows\System32\KRwtdwJ.exe
  C:\Windows\System32\KRwtdwJ.exe
  2⤵
  PID:10384
- C:\Windows\System32\FNpOERa.exe
  C:\Windows\System32\FNpOERa.exe
  2⤵
  PID:10400
- C:\Windows\System32\fSVwIHr.exe
  C:\Windows\System32\fSVwIHr.exe
  2⤵
  PID:10420
- C:\Windows\System32\rCjpHDq.exe
  C:\Windows\System32\rCjpHDq.exe
  2⤵
  PID:10436
- C:\Windows\System32\SyMTRyt.exe
  C:\Windows\System32\SyMTRyt.exe
  2⤵
  PID:10460
- C:\Windows\System32\nGPOtix.exe
  C:\Windows\System32\nGPOtix.exe
  2⤵
  PID:10476
- C:\Windows\System32\sUjbYxf.exe
  C:\Windows\System32\sUjbYxf.exe
  2⤵
  PID:10492
- C:\Windows\System32\lGeWdcE.exe
  C:\Windows\System32\lGeWdcE.exe
  2⤵
  PID:10556
- C:\Windows\System32\nfwypnh.exe
  C:\Windows\System32\nfwypnh.exe
  2⤵
  PID:10612
- C:\Windows\System32\aozHdqu.exe
  C:\Windows\System32\aozHdqu.exe
  2⤵
  PID:10644
- C:\Windows\System32\YyriXsp.exe
  C:\Windows\System32\YyriXsp.exe
  2⤵
  PID:10668
- C:\Windows\System32\pqAkari.exe
  C:\Windows\System32\pqAkari.exe
  2⤵
  PID:10712
- C:\Windows\System32\gcJawlr.exe
  C:\Windows\System32\gcJawlr.exe
  2⤵
  PID:10740
- C:\Windows\System32\cCuoHsr.exe
  C:\Windows\System32\cCuoHsr.exe
  2⤵
  PID:10756
- C:\Windows\System32\aUazLZX.exe
  C:\Windows\System32\aUazLZX.exe
  2⤵
  PID:10780
- C:\Windows\System32\ZwBUREA.exe
  C:\Windows\System32\ZwBUREA.exe
  2⤵
  PID:10816
- C:\Windows\System32\CnwSWik.exe
  C:\Windows\System32\CnwSWik.exe
  2⤵
  PID:10844
- C:\Windows\System32\GuEYETU.exe
  C:\Windows\System32\GuEYETU.exe
  2⤵
  PID:10880
- C:\Windows\System32\tNLYEJv.exe
  C:\Windows\System32\tNLYEJv.exe
  2⤵
  PID:10908
- C:\Windows\System32\RMNDASg.exe
  C:\Windows\System32\RMNDASg.exe
  2⤵
  PID:10928
- C:\Windows\System32\qXkNUka.exe
  C:\Windows\System32\qXkNUka.exe
  2⤵
  PID:10952
- C:\Windows\System32\EuOEOcc.exe
  C:\Windows\System32\EuOEOcc.exe
  2⤵
  PID:10976
- C:\Windows\System32\WMUGqqs.exe
  C:\Windows\System32\WMUGqqs.exe
  2⤵
  PID:11000
- C:\Windows\System32\GfEGIkC.exe
  C:\Windows\System32\GfEGIkC.exe
  2⤵
  PID:11036
- C:\Windows\System32\eZBvYVV.exe
  C:\Windows\System32\eZBvYVV.exe
  2⤵
  PID:11064
- C:\Windows\System32\sxqwaxo.exe
  C:\Windows\System32\sxqwaxo.exe
  2⤵
  PID:11084
- C:\Windows\System32\pCdOpRD.exe
  C:\Windows\System32\pCdOpRD.exe
  2⤵
  PID:11176
- C:\Windows\System32\uqoBfmc.exe
  C:\Windows\System32\uqoBfmc.exe
  2⤵
  PID:11212
- C:\Windows\System32\tButdrv.exe
  C:\Windows\System32\tButdrv.exe
  2⤵
  PID:11256
- C:\Windows\System32\DkkDkTQ.exe
  C:\Windows\System32\DkkDkTQ.exe
  2⤵
  PID:7376
- C:\Windows\System32\kYzPseE.exe
  C:\Windows\System32\kYzPseE.exe
  2⤵
  PID:10264
- C:\Windows\System32\sFCeJub.exe
  C:\Windows\System32\sFCeJub.exe
  2⤵
  PID:10292
- C:\Windows\System32\LkqLjet.exe
  C:\Windows\System32\LkqLjet.exe
  2⤵
  PID:10428
- C:\Windows\System32\OOOzRHq.exe
  C:\Windows\System32\OOOzRHq.exe
  2⤵
  PID:10392
- C:\Windows\System32\OmTQZGs.exe
  C:\Windows\System32\OmTQZGs.exe
  2⤵
  PID:10432
- C:\Windows\System32\nSiSAbI.exe
  C:\Windows\System32\nSiSAbI.exe
  2⤵
  PID:10484
- C:\Windows\System32\aZtyztS.exe
  C:\Windows\System32\aZtyztS.exe
  2⤵
  PID:10576
- C:\Windows\System32\CJBZzgq.exe
  C:\Windows\System32\CJBZzgq.exe
  2⤵
  PID:10660
- C:\Windows\System32\wAwXfhd.exe
  C:\Windows\System32\wAwXfhd.exe
  2⤵
  PID:10804
- C:\Windows\System32\ADvCKnv.exe
  C:\Windows\System32\ADvCKnv.exe
  2⤵
  PID:10860
- C:\Windows\System32\sfluwmH.exe
  C:\Windows\System32\sfluwmH.exe
  2⤵
  PID:10940
- C:\Windows\System32\ECBERTn.exe
  C:\Windows\System32\ECBERTn.exe
  2⤵
  PID:11024
- C:\Windows\System32\WLHICZI.exe
  C:\Windows\System32\WLHICZI.exe
  2⤵
  PID:11048
- C:\Windows\System32\caiVEsL.exe
  C:\Windows\System32\caiVEsL.exe
  2⤵
  PID:11112
- C:\Windows\System32\NXpyvPv.exe
  C:\Windows\System32\NXpyvPv.exe
  2⤵
  PID:11244
- C:\Windows\System32\iILzRgp.exe
  C:\Windows\System32\iILzRgp.exe
  2⤵
  PID:10296
- C:\Windows\System32\LyTWsHr.exe
  C:\Windows\System32\LyTWsHr.exe
  2⤵
  PID:10412
- C:\Windows\System32\edggMhI.exe
  C:\Windows\System32\edggMhI.exe
  2⤵
  PID:10472
- C:\Windows\System32\WpOVlEI.exe
  C:\Windows\System32\WpOVlEI.exe
  2⤵
  PID:10552
- C:\Windows\System32\ggMJNGI.exe
  C:\Windows\System32\ggMJNGI.exe
  2⤵
  PID:10248
- C:\Windows\System32\vZIrAgn.exe
  C:\Windows\System32\vZIrAgn.exe
  2⤵
  PID:10888
- C:\Windows\System32\XiWwSex.exe
  C:\Windows\System32\XiWwSex.exe
  2⤵
  PID:10988
- C:\Windows\System32\xBScPkZ.exe
  C:\Windows\System32\xBScPkZ.exe
  2⤵
  PID:11204
- C:\Windows\System32\FgsARep.exe
  C:\Windows\System32\FgsARep.exe
  2⤵
  PID:10468
- C:\Windows\System32\dOQpUVW.exe
  C:\Windows\System32\dOQpUVW.exe
  2⤵
  PID:10652
- C:\Windows\System32\wnbMTaP.exe
  C:\Windows\System32\wnbMTaP.exe
  2⤵
  PID:10684
- C:\Windows\System32\SzKSgKH.exe
  C:\Windows\System32\SzKSgKH.exe
  2⤵
  PID:10380
- C:\Windows\System32\AmxjvWd.exe
  C:\Windows\System32\AmxjvWd.exe
  2⤵
  PID:10868
- C:\Windows\System32\MLXICwF.exe
  C:\Windows\System32\MLXICwF.exe
  2⤵
  PID:10332
- C:\Windows\System32\XidDREz.exe
  C:\Windows\System32\XidDREz.exe
  2⤵
  PID:11276
- C:\Windows\System32\vMidwCU.exe
  C:\Windows\System32\vMidwCU.exe
  2⤵
  PID:11296
- C:\Windows\System32\fonnmBc.exe
  C:\Windows\System32\fonnmBc.exe
  2⤵
  PID:11320
- C:\Windows\System32\ObiiFaq.exe
  C:\Windows\System32\ObiiFaq.exe
  2⤵
  PID:11336
- C:\Windows\System32\WokobWC.exe
  C:\Windows\System32\WokobWC.exe
  2⤵
  PID:11352
- C:\Windows\System32\jqVEEAe.exe
  C:\Windows\System32\jqVEEAe.exe
  2⤵
  PID:11380
- C:\Windows\System32\SBfhKcH.exe
  C:\Windows\System32\SBfhKcH.exe
  2⤵
  PID:11436
- C:\Windows\System32\sUCture.exe
  C:\Windows\System32\sUCture.exe
  2⤵
  PID:11472
- C:\Windows\System32\zosiSpT.exe
  C:\Windows\System32\zosiSpT.exe
  2⤵
  PID:11500
- C:\Windows\System32\wktBdKX.exe
  C:\Windows\System32\wktBdKX.exe
  2⤵
  PID:11544
- C:\Windows\System32\XDouUkI.exe
  C:\Windows\System32\XDouUkI.exe
  2⤵
  PID:11568
- C:\Windows\System32\mXUZKef.exe
  C:\Windows\System32\mXUZKef.exe
  2⤵
  PID:11584
- C:\Windows\System32\oMbOObh.exe
  C:\Windows\System32\oMbOObh.exe
  2⤵
  PID:11604
- C:\Windows\System32\pfIDTqq.exe
  C:\Windows\System32\pfIDTqq.exe
  2⤵
  PID:11652
- C:\Windows\System32\fPkPzpy.exe
  C:\Windows\System32\fPkPzpy.exe
  2⤵
  PID:11668
- C:\Windows\System32\DczCBBg.exe
  C:\Windows\System32\DczCBBg.exe
  2⤵
  PID:11692
- C:\Windows\System32\hMPHIpf.exe
  C:\Windows\System32\hMPHIpf.exe
  2⤵
  PID:11724
- C:\Windows\System32\GLOkqQS.exe
  C:\Windows\System32\GLOkqQS.exe
  2⤵
  PID:11744
- C:\Windows\System32\UwBWcbR.exe
  C:\Windows\System32\UwBWcbR.exe
  2⤵
  PID:11768
- C:\Windows\System32\xZqjUFT.exe
  C:\Windows\System32\xZqjUFT.exe
  2⤵
  PID:11816
- C:\Windows\System32\AtgbYOu.exe
  C:\Windows\System32\AtgbYOu.exe
  2⤵
  PID:11836
- C:\Windows\System32\fEmpyQH.exe
  C:\Windows\System32\fEmpyQH.exe
  2⤵
  PID:11856
- C:\Windows\System32\kcUpHGX.exe
  C:\Windows\System32\kcUpHGX.exe
  2⤵
  PID:11876
- C:\Windows\System32\AvvWZcq.exe
  C:\Windows\System32\AvvWZcq.exe
  2⤵
  PID:11900
- C:\Windows\System32\bEuumwN.exe
  C:\Windows\System32\bEuumwN.exe
  2⤵
  PID:11936
- C:\Windows\System32\UeqZsYm.exe
  C:\Windows\System32\UeqZsYm.exe
  2⤵
  PID:11980
- C:\Windows\System32\QPERCEB.exe
  C:\Windows\System32\QPERCEB.exe
  2⤵
  PID:12012
- C:\Windows\System32\JorBOWC.exe
  C:\Windows\System32\JorBOWC.exe
  2⤵
  PID:12040
- C:\Windows\System32\pYPwOId.exe
  C:\Windows\System32\pYPwOId.exe
  2⤵
  PID:12064
- C:\Windows\System32\txvsXLF.exe
  C:\Windows\System32\txvsXLF.exe
  2⤵
  PID:12096
- C:\Windows\System32\SXLPfFo.exe
  C:\Windows\System32\SXLPfFo.exe
  2⤵
  PID:12140
- C:\Windows\System32\HzUNFsB.exe
  C:\Windows\System32\HzUNFsB.exe
  2⤵
  PID:12160
- C:\Windows\System32\slrZnXk.exe
  C:\Windows\System32\slrZnXk.exe
  2⤵
  PID:12188
- C:\Windows\System32\oORFhSQ.exe
  C:\Windows\System32\oORFhSQ.exe
  2⤵
  PID:12216
- C:\Windows\System32\IqGpzuY.exe
  C:\Windows\System32\IqGpzuY.exe
  2⤵
  PID:12240
- C:\Windows\System32\bgZnGUt.exe
  C:\Windows\System32\bgZnGUt.exe
  2⤵
  PID:12264
- C:\Windows\System32\bTyPEse.exe
  C:\Windows\System32\bTyPEse.exe
  2⤵
  PID:11268
- C:\Windows\System32\mPYXpoQ.exe
  C:\Windows\System32\mPYXpoQ.exe
  2⤵
  PID:11372
- C:\Windows\System32\qEBojlV.exe
  C:\Windows\System32\qEBojlV.exe
  2⤵
  PID:11392
- C:\Windows\System32\CCSsvJi.exe
  C:\Windows\System32\CCSsvJi.exe
  2⤵
  PID:11464
- C:\Windows\System32\GGPkjvL.exe
  C:\Windows\System32\GGPkjvL.exe
  2⤵
  PID:11508
- C:\Windows\System32\dHVtqmx.exe
  C:\Windows\System32\dHVtqmx.exe
  2⤵
  PID:11560
- C:\Windows\System32\EQHPBVf.exe
  C:\Windows\System32\EQHPBVf.exe
  2⤵
  PID:11600
- C:\Windows\System32\CfLhbSo.exe
  C:\Windows\System32\CfLhbSo.exe
  2⤵
  PID:11704
- C:\Windows\System32\CUiUnRP.exe
  C:\Windows\System32\CUiUnRP.exe
  2⤵
  PID:11828
- C:\Windows\System32\maMuHVg.exe
  C:\Windows\System32\maMuHVg.exe
  2⤵
  PID:11892
- C:\Windows\System32\CBKEfvA.exe
  C:\Windows\System32\CBKEfvA.exe
  2⤵
  PID:11920
- C:\Windows\System32\jaHoXsH.exe
  C:\Windows\System32\jaHoXsH.exe
  2⤵
  PID:12032
- C:\Windows\System32\NHIMXyP.exe
  C:\Windows\System32\NHIMXyP.exe
  2⤵
  PID:12072
- C:\Windows\System32\uowaVQp.exe
  C:\Windows\System32\uowaVQp.exe
  2⤵
  PID:12124
- C:\Windows\System32\XBlcokT.exe
  C:\Windows\System32\XBlcokT.exe
  2⤵
  PID:12176
- C:\Windows\System32\kAUMRhx.exe
  C:\Windows\System32\kAUMRhx.exe
  2⤵
  PID:12284
- C:\Windows\System32\nHiNaIn.exe
  C:\Windows\System32\nHiNaIn.exe
  2⤵
  PID:11376
- C:\Windows\System32\NsZdMAV.exe
  C:\Windows\System32\NsZdMAV.exe
  2⤵
  PID:11556
- C:\Windows\System32\ZYyxIYZ.exe
  C:\Windows\System32\ZYyxIYZ.exe
  2⤵
  PID:11628
- C:\Windows\System32\yVmkVpp.exe
  C:\Windows\System32\yVmkVpp.exe
  2⤵
  PID:11864
- C:\Windows\System32\IDHMvFE.exe
  C:\Windows\System32\IDHMvFE.exe
  2⤵
  PID:11956
- C:\Windows\System32\gQwIusy.exe
  C:\Windows\System32\gQwIusy.exe
  2⤵
  PID:12080
- C:\Windows\System32\gSbSARQ.exe
  C:\Windows\System32\gSbSARQ.exe
  2⤵
  PID:12228
- C:\Windows\System32\wBqgpBc.exe
  C:\Windows\System32\wBqgpBc.exe
  2⤵
  PID:11644
- C:\Windows\System32\nWAcJhN.exe
  C:\Windows\System32\nWAcJhN.exe
  2⤵
  PID:11736
- C:\Windows\System32\KigrhUG.exe
  C:\Windows\System32\KigrhUG.exe
  2⤵
  PID:2308
- C:\Windows\System32\DgpvGPS.exe
  C:\Windows\System32\DgpvGPS.exe
  2⤵
  PID:12020
- C:\Windows\System32\qUiEhcs.exe
  C:\Windows\System32\qUiEhcs.exe
  2⤵
  PID:11348
- C:\Windows\System32\VDWraYm.exe
  C:\Windows\System32\VDWraYm.exe
  2⤵
  PID:11592
- C:\Windows\System32\dEnDPwo.exe
  C:\Windows\System32\dEnDPwo.exe
  2⤵
  PID:12316
- C:\Windows\System32\YmPVfoN.exe
  C:\Windows\System32\YmPVfoN.exe
  2⤵
  PID:12332
- C:\Windows\System32\PkEnmKF.exe
  C:\Windows\System32\PkEnmKF.exe
  2⤵
  PID:12360
- C:\Windows\System32\zaYKFZH.exe
  C:\Windows\System32\zaYKFZH.exe
  2⤵
  PID:12388
- C:\Windows\System32\EHbGlxv.exe
  C:\Windows\System32\EHbGlxv.exe
  2⤵
  PID:12420
- C:\Windows\System32\qNsoAZx.exe
  C:\Windows\System32\qNsoAZx.exe
  2⤵
  PID:12448
- C:\Windows\System32\zWmooxT.exe
  C:\Windows\System32\zWmooxT.exe
  2⤵
  PID:12480
- C:\Windows\System32\MFnSMOY.exe
  C:\Windows\System32\MFnSMOY.exe
  2⤵
  PID:12500
- C:\Windows\System32\ZGCBGEQ.exe
  C:\Windows\System32\ZGCBGEQ.exe
  2⤵
  PID:12552
- C:\Windows\System32\NfiyqKv.exe
  C:\Windows\System32\NfiyqKv.exe
  2⤵
  PID:12568
- C:\Windows\System32\QYSHDjO.exe
  C:\Windows\System32\QYSHDjO.exe
  2⤵
  PID:12592
- C:\Windows\System32\OvYWSoo.exe
  C:\Windows\System32\OvYWSoo.exe
  2⤵
  PID:12612
- C:\Windows\System32\jVtSUJn.exe
  C:\Windows\System32\jVtSUJn.exe
  2⤵
  PID:12640
- C:\Windows\System32\mhFUfuY.exe
  C:\Windows\System32\mhFUfuY.exe
  2⤵
  PID:12684
- C:\Windows\System32\ljDrEFU.exe
  C:\Windows\System32\ljDrEFU.exe
  2⤵
  PID:12708
- C:\Windows\System32\TQVykvf.exe
  C:\Windows\System32\TQVykvf.exe
  2⤵
  PID:12724
- C:\Windows\System32\iveqUIS.exe
  C:\Windows\System32\iveqUIS.exe
  2⤵
  PID:12748
- C:\Windows\System32\etayQfa.exe
  C:\Windows\System32\etayQfa.exe
  2⤵
  PID:12764
- C:\Windows\System32\gEQOMMq.exe
  C:\Windows\System32\gEQOMMq.exe
  2⤵
  PID:12784
- C:\Windows\System32\GmigMvG.exe
  C:\Windows\System32\GmigMvG.exe
  2⤵
  PID:12864
- C:\Windows\System32\NYmSEXC.exe
  C:\Windows\System32\NYmSEXC.exe
  2⤵
  PID:12880
- C:\Windows\System32\YrDviMf.exe
  C:\Windows\System32\YrDviMf.exe
  2⤵
  PID:12900
- C:\Windows\System32\OhoJigb.exe
  C:\Windows\System32\OhoJigb.exe
  2⤵
  PID:12916
- C:\Windows\System32\ObUEOFy.exe
  C:\Windows\System32\ObUEOFy.exe
  2⤵
  PID:12940
- C:\Windows\System32\odDBNRw.exe
  C:\Windows\System32\odDBNRw.exe
  2⤵
  PID:12956
- C:\Windows\System32\KqoBQIR.exe
  C:\Windows\System32\KqoBQIR.exe
  2⤵
  PID:12984
- C:\Windows\System32\oCjoVKg.exe
  C:\Windows\System32\oCjoVKg.exe
  2⤵
  PID:13004
- C:\Windows\System32\DBiuUZO.exe
  C:\Windows\System32\DBiuUZO.exe
  2⤵
  PID:13028
- C:\Windows\System32\QrbAdJc.exe
  C:\Windows\System32\QrbAdJc.exe
  2⤵
  PID:13072
- C:\Windows\System32\PZSbIMZ.exe
  C:\Windows\System32\PZSbIMZ.exe
  2⤵
  PID:13088
- C:\Windows\System32\CkOhKRd.exe
  C:\Windows\System32\CkOhKRd.exe
  2⤵
  PID:13112
- C:\Windows\System32\OVbdtUr.exe
  C:\Windows\System32\OVbdtUr.exe
  2⤵
  PID:13164
- C:\Windows\System32\hQfZcfU.exe
  C:\Windows\System32\hQfZcfU.exe
  2⤵
  PID:13180
- C:\Windows\System32\TXpCtaV.exe
  C:\Windows\System32\TXpCtaV.exe
  2⤵
  PID:13220
- C:\Windows\System32\ObgSLua.exe
  C:\Windows\System32\ObgSLua.exe
  2⤵
  PID:13244
- C:\Windows\System32\JZpRUcU.exe
  C:\Windows\System32\JZpRUcU.exe
  2⤵
  PID:13264
- C:\Windows\System32\OIDTNDn.exe
  C:\Windows\System32\OIDTNDn.exe
  2⤵
  PID:13308
- C:\Windows\System32\OaQexxf.exe
  C:\Windows\System32\OaQexxf.exe
  2⤵
  PID:12296
- C:\Windows\System32\BaQFFGV.exe
  C:\Windows\System32\BaQFFGV.exe
  2⤵
  PID:12328

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:4872

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Event Triggered Execution

T1546

Accessibility Features

T1546.008

Privilege Escalation

Event Triggered Execution

T1546

Accessibility Features

T1546.008

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ATgMmLa.exe

Filesize
924KB

MD5
3db3ca6f5651e9e16f742e0cc006ac61

SHA1
e3c4e79bf4a47f1f31cbe6ead3dce49d83e63a30

SHA256
07364545fc91a7d1bbf945465baa01d750700663dbf2272374929047ac28a8ef

SHA512
94e24e8e46f1e834e3f92ff8a4c022517d405af786bd64a6cc17a5e62a1b697a1ee68734dce6235141e2ad2906a03525513e551d611de1e46edd51cf61b67fe3

Download Submit
C:\Windows\System32\AdKskNe.exe

Filesize
920KB

MD5
b77b8ec1723bc0a5f27793a3edb2c1a2

SHA1
baed25931e9fc2ece69e11523f663fd075dee687

SHA256
a1780814609ecb8b309989b5d5415bd9cdb40cd0bca111865a607fd2c89aa405

SHA512
dc7852b7e54c8f8172c1d51ca72a12deb72822452bcb0bf5994e55875f037a14930e8360dceff79cbf5c7b8480712a8932cd7572818b0b4a8cb2719417191e2c

Download Submit
C:\Windows\System32\BsyyVcV.exe

Filesize
918KB

MD5
40548222b6c0cac7d541e6a2724eb1b9

SHA1
7af3a2cd95bd41eea5844deb9dade83676efca9b

SHA256
da147393171637845f9257534facf9567fbe8ef446e8f1e816dd479a8138434b

SHA512
7b2cd5a3795adbf88abde51289803cfc5cc6dd18e8765b74e4e73eabb35ab36244ab3af1e44fe0e557724d3ee288ecfadabf3bcd31625c7bf30a0bbf3ed24f09

Download Submit
C:\Windows\System32\BxGEEJd.exe

Filesize
920KB

MD5
bb2d89b4cbffbb4dff0892540be4f77c

SHA1
0620467bf415aa8362620978117db1c34271388d

SHA256
8d3bfb711d478b555a1796488a9ba27fe5ca72ec3ad450e4585e2fd6b7690f26

SHA512
b7fe1edd149e903db7042878f75da8bee48d07bf52613c25dfb57fbcd15fab1bd036d4d893cd2f360e3c682abbd7673a00986afe57fd35e29112e0bbafe889ac

Download Submit
C:\Windows\System32\GDlUFMQ.exe

Filesize
925KB

MD5
ac6bab006de6aa714e8fd70d03cb2ea1

SHA1
f18d9ebe0bd17584ef3a6c20bb2f49dd757fed2a

SHA256
72372e16119a58f723d9919ea1719801af6852610130834ec00c89af5fadc90f

SHA512
39ef6e77e65955373f84e02b07344b4f0d3606b65d52bbbdb3d1a147205b016350bfc633a81f0bf30e8bbdb9200c21d47ae0d2afb696039e48551726e8b6606f

Download Submit
C:\Windows\System32\GwZfTUP.exe

Filesize
924KB

MD5
1b01645217372377f7134137f4e49da3

SHA1
77a2154a3ac989a9a1d69ebd0593eebd93dec47e

SHA256
eff4a9c1c9fc419618529a7080367ea03807a9402a6369da6e76929c17c3a4c3

SHA512
7d8068897f849a5f854acbdfc49238434a5a188d6220960ae4520fe73b5af582842cc971237d91974b3bd62695e3288932c1f99833d1123540b2611e64ff6364

Download Submit
C:\Windows\System32\HlqLoGj.exe

Filesize
923KB

MD5
0275826ea0e53e4bffff94be04258be6

SHA1
cccf3e91c02274badce3542289a93e39a3b99b91

SHA256
8591660b629473c959031dc935481d8275ede44b61ad833ad957c26c9bb81aff

SHA512
9d28db5913340388cd9b2cadf384c601936a08046799bed93d9f075b869990c52e559745bfc85a67985f8a4a381cd6b5cfee8c791793656d97a9694f2f85d10c

Download Submit
C:\Windows\System32\HmyDPje.exe

Filesize
924KB

MD5
1124908c273e8cc41c8f7197580b776b

SHA1
8a828fb01735f1fe6f2e0579dd7652a232ddb1c1

SHA256
b101a276f0c4f3dc2d164c3941f0158782054d3570688c609546787283406574

SHA512
8cab5b631c4520c57fdd2d447f66309438f67651b068413ac90737dbc1b1bd13cddf85935acd9778dc1b237665e036df0bb19aa89d16a50397b828e12a5acfa1

Download Submit
C:\Windows\System32\KyYkgEb.exe

Filesize
925KB

MD5
29161f8b0633d863065850cc8bd38e91

SHA1
e6607cdaf1da251b3f23106257f0e684da7f56c9

SHA256
785acccecdc20b31f2063e378525c431a82cee57abbb10e1f1a5fa27e274ca0a

SHA512
b0a8b413804a7b6a2c83827f37138b171753cc942d517fca551727adc1e8fdb2c6330274fa537403a2d0419ccc9fa06e11bf34ce67e7f01fca9ca69579a1af55

Download Submit
C:\Windows\System32\LWLclOf.exe

Filesize
919KB

MD5
f45fdfd3963c4b4a4f89d88dec0f72ed

SHA1
c5a84bb11d6ff6fc0459f7d7013ffe32a126ddaf

SHA256
dff88c5e677f69c6c80b8e058fc60eba8b1031872611f809f6990a3967bdaa33

SHA512
44fad83ecc8503197a414c28652f08153b99cf71a988b1ff3dcf2bde2d6c8f94a7153ae723817ab8a454f979b3b9f4897ae983db6425b0cb835bb72e07f29078

Download Submit
C:\Windows\System32\LtGmJtg.exe

Filesize
921KB

MD5
32e63421817e5dde98ee46b55a9c44f5

SHA1
769f7b981784d526912b5d6f88f3c69155b6fdcc

SHA256
2db5ece2fdd96d3cea3d07eec4ef825743485fbdc099522474d9153b5921e498

SHA512
68490e86e4d94f1329de1eab2cc4b6bc32831475ce0cb30cd4947a8700c9558e2e24ee249652e458a5ffa3375f765a7d42a982df88f1edf9b5734559e518a3a4

Download Submit
C:\Windows\System32\MZtHJFP.exe

Filesize
920KB

MD5
ee732e6dcebb009f41ab357f0a5d9017

SHA1
b14b3baa3a08bd8a35ad587f5743bf7e403c41bd

SHA256
9f7c401ecc0b6f2c12d9fd35c375a9680a8272282ebe928f9ac360f30cc73fca

SHA512
d257cac202615c6baa4f49e838e976c1f0f0d0737671413f3941c8293ca2e6aec5f4c09e7b022007ee8daa60504f6b906cb43f98ca58d2b4c0d3577a6bc20ef5

Download Submit
C:\Windows\System32\NwbVEEj.exe

Filesize
918KB

MD5
3b9cf182f066f0137c832ff2bedc5b00

SHA1
d46e5f8faf85492dd501e4d97b319bf6b2e2c1ca

SHA256
a635cfd8b807fbad4b2aa9aa2c0a4fb19683c872a100a2a48a07d644ae6b6824

SHA512
ab6350a72a2e28ec57873180b18bb1bb5d418f519ae44b2b1345d0a17c11ebbe2f606dfe6872bda0f10407964b1b2023c335801ce79293fe7f1dfc42ddf3effb

Download Submit
C:\Windows\System32\SfKAXWu.exe

Filesize
923KB

MD5
85e7f11deec9d2bece93a270966af565

SHA1
a5c22b8d129608a8cbb6575d5757d837c074dfda

SHA256
7818494898d97f88cdccbeeaafb609b279c52a09a715ae43b5350de80bb66b6a

SHA512
aae4da56e75eceba5b509017bc254d1c892dd27c1c0498dbe3bd1a60af4c513c69bdb5a6c514af89dd595dee65d346deea4e8a26b6a2da8966782a1d2688dc06

Download Submit
C:\Windows\System32\SqqYMIo.exe

Filesize
919KB

MD5
b47ac03cf1898bc826bfb65422d64e1a

SHA1
c5a1e2e4599674c6f573396e6381fde3d4f1c530

SHA256
19265aca3604899088c91a52710dd911f9a531921d0e7ceb86e1ffd1c6c05faf

SHA512
4baf578970b0a947ea2f8cbf79b200ffcab405ee3750594f5e18875a1021776987aaef000c100ff0c83a6151a0dd31443f4329b7924cc4a4d4e06ee0c9a783bb

Download Submit
C:\Windows\System32\TOnyvnc.exe

Filesize
922KB

MD5
77d381731b475b57f566d92e0c929218

SHA1
c707dd20ef1251736f6fa5409218306d113d1962

SHA256
82c9353de9ba74ddbe2043b8947f9c7ef05f82cbc52e778414ae99f11c09cc5d

SHA512
cec33b55af7ca7caa923925d8cbfd9ffb0a4e15963994b67caf16add29ee70624f3eb922a1410e50346a8d667f3634bb910ff2128d43d1a214cc8ef13f06aba5

Download Submit
C:\Windows\System32\TfmPqWe.exe

Filesize
923KB

MD5
b1ca7103edab0b07f2bce87b481fc2a7

SHA1
1367d559af280b04def897cbb2f2b9fe37791ffa

SHA256
1d22c660aad499ea44cdbc65fa4c448f37517ef2657c06eb5e9b0044d28ecc56

SHA512
a3e2ecc069a23fa40ec1408de5cf08899d9d8f8036fa5e42fe3bf646923a46b149edae593ac52b836ce0d821df44702ad8eb1690a567bf5a9bd476c90daf462c

Download Submit
C:\Windows\System32\TqrUsgm.exe

Filesize
921KB

MD5
a5f376c6197e176d8038e1ea5cf9f1f2

SHA1
779e5362847da5892b368f891da761c88bb895fe

SHA256
98bee0f25d53ddf6d471bcaeaf6cf95c131d0d7182e038f0925360e5592205c0

SHA512
d51bda0d0202cc1b38566018b9f1e86d6233e72c739160d7bd73b66c0af0b85dd6d3cb5ac222e770d100f5412d6175e306675b0129b3f4939d84514a0438ea39

Download Submit
C:\Windows\System32\VtVjSGp.exe

Filesize
921KB

MD5
9cf42f6eb85f6b9a55d788b6a0a09af2

SHA1
d41172872439aa9f31b81cabfcee09a54fe9ac96

SHA256
5e81dab8c3e9b7e303f47b1d1929670ee35b06be5f4a0bea20216e91d9a851d9

SHA512
262dd2abc47fe8e6df6d8e1888a7b9ed13ab0994c758b4da82822472b3d4439b80d75986fb1997548db7111b5b0226ea98055f5b2304570a419c5145fcb798b7

Download Submit
C:\Windows\System32\aSlOsdq.exe

Filesize
923KB

MD5
139449f63eb3ebeeb993d34b3ee3f5c4

SHA1
bacfcc08d8fd2d9817544b74f3c6d9d61f2debe4

SHA256
1519036562ad9813ef908eea0cdab575f0ab25a986e0ab00ac0e03e5ec14f817

SHA512
a39c3d02650384df3ef3f37e140508d5fc088295f86de85e32cd80bb675e4a30cc332584debdcf928b963eb33ba6705c5f3fb0cbeb0accb4f69b96ca559da049

Download Submit
C:\Windows\System32\axUVbEJ.exe

Filesize
918KB

MD5
11ebfc64397b2384c1bd96b7500a28a9

SHA1
11b4c8e7627e4a8c360871cffb40faa994d65e9d

SHA256
a511af5531c3f256b215ab3b5549422bfbc582a5545ad7492e5b9fd57b0bdb60

SHA512
95df623a0a3ced2afa2dae791e6cdc9031366afaaa0223e278a6726a129f69a0af0387f45b88c59e05f2f2bbb16dedc82e1383a2d605594fae6a16ac97769dc5

Download Submit
C:\Windows\System32\baPZQHQ.exe

Filesize
924KB

MD5
72fe191dbe3ad5d79de79a98c766cf91

SHA1
f56d861d31b8bc713203abf61d15e1d308b8ad53

SHA256
f68be8673084fc0d49c182740bfd3ffaabe6847afc3c7bdacc7b4aaf44e17cbe

SHA512
c9b3fcc952ee39c2ea803655f6c4b40b295ddd834cb46972abb6145b75fa4a273ed498658700b99f6dbfab7406748f86f24931044db8d348a3b226b747c64f86

Download Submit
C:\Windows\System32\iPaeGMJ.exe

Filesize
921KB

MD5
08097c750877d1e1183e7670f56d0b56

SHA1
38ff5ee6946b5007dde9c93f0e3208aacea840b2

SHA256
fa14ad781e8b8f204ceaefc917f09d159ce1f04e06c4152ef34764168470d435

SHA512
e482cec643011c4591907c1643b902ff586009087b17d91dc4932de573bbca819ada965adf6d493c7bd74a96c8a894ee8622f5d7a11c6c7a4790c39f3b18c8d7

Download Submit
C:\Windows\System32\jFcZixv.exe

Filesize
919KB

MD5
6224203b7c7c980d2d8f61170cf7bd6f

SHA1
bb648b1497fe9b08164a38f168f9bcbdb300bb2d

SHA256
1388230ea7dc9292bc5a8db7ee70ef34b448db08fd3811cbe03cc4b7f1474c41

SHA512
dfe1f66be007aac1dd92018aec351aa77898585f9bb4ecebf53c0543d152163202b2199eb5293f84a798d3164d0383a23c05a57233d21e69eaa2dadbd4084233

Download Submit
C:\Windows\System32\moFBrSM.exe

Filesize
918KB

MD5
38010a7cd29dc6d054297d8a03fe4073

SHA1
44c79b2ec803b7f10f767664ec37a68989001a72

SHA256
143273264f8292cb53150a86467bcca90b4cd48b23c9dd8b624dec23d899d859

SHA512
35102b79565b6dea626ea035a35bf68f0901790ae62374edef452e6bda676eb7431639aba59de8ca32c184dba51c1c5a2fa5cf01626b09e25969271cf1e55feb

Download Submit
C:\Windows\System32\qntCWhZ.exe

Filesize
922KB

MD5
e06177c82ce22df4cee427b4e774c2e5

SHA1
e890604a852c85ba8b0ad72d9af7b0508f739735

SHA256
aec11804e6b0ee8fc5fe1fd0732058936641dfc72c137145e3105ea512e620d6

SHA512
11980a926ea6ea737e42727ad77b22e32b511cec8f71ef816e4af15731ce00981ac3d9d82e8974fc217b26a4ec6283b995114dc25a8d1c8584f0e71c922b7b82

Download Submit
C:\Windows\System32\qsnCZSO.exe

Filesize
921KB

MD5
99adf2646aa07a88ec524b7d1cdca0c3

SHA1
62e09851addcf8e63da265d344bd56f5e5934fb6

SHA256
018c5a681e1bd4ecce3d2fea0575d20fb59a133e3b51c70ff78159a122bbc790

SHA512
81dd836a6a359749157ca6f3000f0effa5b8eabf12cd0f3f29c1434f7f4a582d6706be2fef466fd09c6697b0024e231bd26f6dd21f6e068a9d628f92b922737f

Download Submit
C:\Windows\System32\sznNKob.exe

Filesize
922KB

MD5
df8b482451a51071c6a20408611121bf

SHA1
c40b3d52275e7337cc65c06c6a307d58ee4cf4df

SHA256
0645362738972a07f63f22464d4bc68fda216348ba0f9f7b72214ddf2a9dca23

SHA512
8e61bbb0653cfcc7275bfce0bfb3d304bc19322d9098fbff2db8785290b7f340a5a9579ad5c7b59cd0cbbd827fd7fb7acb46cf592ed7df2bde193e6ca9702ce4

Download Submit
C:\Windows\System32\vGCpznM.exe

Filesize
919KB

MD5
a3047b19fb1766db49d7fe7b8523e638

SHA1
96d5cf9dad976475d0ce1bbde6b45c2dbf96e779

SHA256
bd829c889674a131c7ce974517ecd7ef2b63c92e3165200d7c4fcf7e3e0a4a08

SHA512
66e326ff8c3fae6c6a8c0848f35aea77e2002419ffeaf4a08370632383b261d690d9476025233218c6b77f3ca193af392450ac677b6ba8ee389b3d67d7944875

Download Submit
C:\Windows\System32\yPCjrVE.exe

Filesize
922KB

MD5
2335d6ba1a079fb57ee3af1b35d3d42a

SHA1
0e39dddff98003f99470af93acba693d585fb9ba

SHA256
a3e4f11f06b4435a110364193293772937bcfa36c977ad2254543c791753cd75

SHA512
e47ff0da2ebc53237318105259391d8cc4b29b4fbf47415281948ab1bc1c3b304575df0074afbf2ea29f8295162e42e1aa9649182337e572145f3a26f8db99e9

Download Submit
C:\Windows\System32\zYnBkCY.exe

Filesize
925KB

MD5
f1ffaf5050f8520ee942efe3b77a236e

SHA1
17df3afac832e5c03f84061c4c65dce37487b387

SHA256
54321129a0e935087114a583503537705985ba53f156ce25add28e3448136aff

SHA512
9943711cb419fe041081825b5b7732d461b5891772b313577678c2ee50211e402b8a26f90593ab2d4e93a76743050384ad6e8f3873b3f948f0088408ec186b5f

Download Submit
C:\Windows\System32\zhZaqwU.exe

Filesize
920KB

MD5
1d6bc1a35afffc4f31b54380905eb1ee

SHA1
208b7285157d334c939660620f6f2eadc83b7b27

SHA256
97f693729e8d075d87bfb00941c044e745407eb45a90e01e57eef97c684341b8

SHA512
611ff40acd8520380126ffcc387a578ad400e464b9b518ebf5a07d8ad156ad032f890d5c2fd16236855e981191b00c746e815f7bef8f5b3e795418c0c466fee0

Download Submit
memory/628-25-0x00007FF75C020000-0x00007FF75C411000-memory.dmp

Filesize
3.9MB

Download
memory/628-1956-0x00007FF75C020000-0x00007FF75C411000-memory.dmp

Filesize
3.9MB

Download
memory/628-2000-0x00007FF75C020000-0x00007FF75C411000-memory.dmp

Filesize
3.9MB

Download
memory/916-353-0x00007FF779110000-0x00007FF779501000-memory.dmp

Filesize
3.9MB

Download
memory/916-2034-0x00007FF779110000-0x00007FF779501000-memory.dmp

Filesize
3.9MB

Download
memory/920-1998-0x00007FF613900000-0x00007FF613CF1000-memory.dmp

Filesize
3.9MB

Download
memory/920-1955-0x00007FF613900000-0x00007FF613CF1000-memory.dmp

Filesize
3.9MB

Download
memory/920-21-0x00007FF613900000-0x00007FF613CF1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-2025-0x00007FF674BD0000-0x00007FF674FC1000-memory.dmp

Filesize
3.9MB

Download
memory/1188-347-0x00007FF674BD0000-0x00007FF674FC1000-memory.dmp

Filesize
3.9MB

Download
memory/1468-2042-0x00007FF75E180000-0x00007FF75E571000-memory.dmp

Filesize
3.9MB

Download
memory/1468-399-0x00007FF75E180000-0x00007FF75E571000-memory.dmp

Filesize
3.9MB

Download
memory/1572-2036-0x00007FF771150000-0x00007FF771541000-memory.dmp

Filesize
3.9MB

Download
memory/1572-381-0x00007FF771150000-0x00007FF771541000-memory.dmp

Filesize
3.9MB

Download
memory/1596-318-0x00007FF727500000-0x00007FF7278F1000-memory.dmp

Filesize
3.9MB

Download
memory/1596-2018-0x00007FF727500000-0x00007FF7278F1000-memory.dmp

Filesize
3.9MB

Download
memory/1884-1-0x000001EE3FF80000-0x000001EE3FF90000-memory.dmp

Filesize
64KB

Download
memory/1884-0-0x00007FF6BB740000-0x00007FF6BBB31000-memory.dmp

Filesize
3.9MB

Download
memory/1968-343-0x00007FF6491E0000-0x00007FF6495D1000-memory.dmp

Filesize
3.9MB

Download
memory/1968-2023-0x00007FF6491E0000-0x00007FF6495D1000-memory.dmp

Filesize
3.9MB

Download
memory/2372-405-0x00007FF77E6B0000-0x00007FF77EAA1000-memory.dmp

Filesize
3.9MB

Download
memory/2372-2016-0x00007FF77E6B0000-0x00007FF77EAA1000-memory.dmp

Filesize
3.9MB

Download
memory/2596-2026-0x00007FF6F0EA0000-0x00007FF6F1291000-memory.dmp

Filesize
3.9MB

Download
memory/2596-325-0x00007FF6F0EA0000-0x00007FF6F1291000-memory.dmp

Filesize
3.9MB

Download
memory/3228-2032-0x00007FF6AA9B0000-0x00007FF6AADA1000-memory.dmp

Filesize
3.9MB

Download
memory/3228-360-0x00007FF6AA9B0000-0x00007FF6AADA1000-memory.dmp

Filesize
3.9MB

Download
memory/3244-2030-0x00007FF655990000-0x00007FF655D81000-memory.dmp

Filesize
3.9MB

Download
memory/3244-367-0x00007FF655990000-0x00007FF655D81000-memory.dmp

Filesize
3.9MB

Download
memory/3268-336-0x00007FF6377C0000-0x00007FF637BB1000-memory.dmp

Filesize
3.9MB

Download
memory/3268-2024-0x00007FF6377C0000-0x00007FF637BB1000-memory.dmp

Filesize
3.9MB

Download
memory/3464-31-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp

Filesize
3.9MB

Download
memory/3464-1957-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp

Filesize
3.9MB

Download
memory/3464-2004-0x00007FF6CE130000-0x00007FF6CE521000-memory.dmp

Filesize
3.9MB

Download
memory/3856-2012-0x00007FF7FC730000-0x00007FF7FCB21000-memory.dmp

Filesize
3.9MB

Download
memory/3856-303-0x00007FF7FC730000-0x00007FF7FCB21000-memory.dmp

Filesize
3.9MB

Download
memory/4232-2014-0x00007FF778110000-0x00007FF778501000-memory.dmp

Filesize
3.9MB

Download
memory/4232-294-0x00007FF778110000-0x00007FF778501000-memory.dmp

Filesize
3.9MB

Download
memory/4292-297-0x00007FF65DFF0000-0x00007FF65E3E1000-memory.dmp

Filesize
3.9MB

Download
memory/4292-2010-0x00007FF65DFF0000-0x00007FF65E3E1000-memory.dmp

Filesize
3.9MB

Download
memory/4708-2006-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp

Filesize
3.9MB

Download
memory/4708-32-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp

Filesize
3.9MB

Download
memory/4708-1958-0x00007FF6E8750000-0x00007FF6E8B41000-memory.dmp

Filesize
3.9MB

Download
memory/4720-1996-0x00007FF70F940000-0x00007FF70FD31000-memory.dmp

Filesize
3.9MB

Download
memory/4720-10-0x00007FF70F940000-0x00007FF70FD31000-memory.dmp

Filesize
3.9MB

Download
memory/4804-2008-0x00007FF7A5DD0000-0x00007FF7A61C1000-memory.dmp

Filesize
3.9MB

Download
memory/4804-308-0x00007FF7A5DD0000-0x00007FF7A61C1000-memory.dmp

Filesize
3.9MB

Download
memory/4916-2002-0x00007FF7EF1C0000-0x00007FF7EF5B1000-memory.dmp

Filesize
3.9MB

Download
memory/4916-311-0x00007FF7EF1C0000-0x00007FF7EF5B1000-memory.dmp

Filesize
3.9MB

Download
memory/4944-358-0x00007FF6099B0000-0x00007FF609DA1000-memory.dmp

Filesize
3.9MB

Download
memory/4944-2028-0x00007FF6099B0000-0x00007FF609DA1000-memory.dmp

Filesize
3.9MB

Download
memory/5016-2038-0x00007FF6A5A50000-0x00007FF6A5E41000-memory.dmp

Filesize
3.9MB

Download
memory/5016-385-0x00007FF6A5A50000-0x00007FF6A5E41000-memory.dmp

Filesize
3.9MB

Download
memory/5052-2040-0x00007FF74C6C0000-0x00007FF74CAB1000-memory.dmp

Filesize
3.9MB

Download
memory/5052-390-0x00007FF74C6C0000-0x00007FF74CAB1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads