xmrig | 7f4e4eda42905b17631ab9a3a71b6b357f403001024fed76dd657aa08265e1b0

Analysis

max time kernel
115s
max time network
120s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
21/08/2024, 11:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

c4a9f48e6e380752003675e58b669c20N.exe
Size

1.6MB
MD5

c4a9f48e6e380752003675e58b669c20
SHA1

5b8c1524b9016b86d9b0b69a1ff69f4fdb6ca02b
SHA256

7f4e4eda42905b17631ab9a3a71b6b357f403001024fed76dd657aa08265e1b0
SHA512

fe153f1b5098aebedd3956939eb042d55798d9015d28395aea8873ce5a056a75c2cb1282a8fc58c3c3a3939c1aee0f4f9f0d872a7eb9a2a3255f6d47fc57f6df
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XIHbAYhbc8lFad+tsytA7W79KvYK9+u2mr:knw9oUUEEDlGUJ8Y9c87MQUSm

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/388-433-0x00007FF6F67F0000-0x00007FF6F6BE1000-memory.dmp	xmrig
behavioral2/memory/2708-19-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp	xmrig
behavioral2/memory/4508-435-0x00007FF6084F0000-0x00007FF6088E1000-memory.dmp	xmrig
behavioral2/memory/4056-434-0x00007FF760B70000-0x00007FF760F61000-memory.dmp	xmrig
behavioral2/memory/3788-436-0x00007FF717280000-0x00007FF717671000-memory.dmp	xmrig
behavioral2/memory/2004-437-0x00007FF63A2A0000-0x00007FF63A691000-memory.dmp	xmrig
behavioral2/memory/5104-438-0x00007FF73B680000-0x00007FF73BA71000-memory.dmp	xmrig
behavioral2/memory/2828-443-0x00007FF7B1C90000-0x00007FF7B2081000-memory.dmp	xmrig
behavioral2/memory/2428-446-0x00007FF7A72C0000-0x00007FF7A76B1000-memory.dmp	xmrig
behavioral2/memory/2424-463-0x00007FF73EA00000-0x00007FF73EDF1000-memory.dmp	xmrig
behavioral2/memory/4348-473-0x00007FF6A3A50000-0x00007FF6A3E41000-memory.dmp	xmrig
behavioral2/memory/2300-478-0x00007FF7BD6D0000-0x00007FF7BDAC1000-memory.dmp	xmrig
behavioral2/memory/3408-469-0x00007FF755670000-0x00007FF755A61000-memory.dmp	xmrig
behavioral2/memory/2228-456-0x00007FF615790000-0x00007FF615B81000-memory.dmp	xmrig
behavioral2/memory/4196-449-0x00007FF706190000-0x00007FF706581000-memory.dmp	xmrig
behavioral2/memory/4936-480-0x00007FF751930000-0x00007FF751D21000-memory.dmp	xmrig
behavioral2/memory/2436-485-0x00007FF6F5610000-0x00007FF6F5A01000-memory.dmp	xmrig
behavioral2/memory/1148-493-0x00007FF6AAE60000-0x00007FF6AB251000-memory.dmp	xmrig
behavioral2/memory/4220-497-0x00007FF6D07F0000-0x00007FF6D0BE1000-memory.dmp	xmrig
behavioral2/memory/1456-501-0x00007FF6BC650000-0x00007FF6BCA41000-memory.dmp	xmrig
behavioral2/memory/4856-491-0x00007FF66E750000-0x00007FF66EB41000-memory.dmp	xmrig
behavioral2/memory/2524-486-0x00007FF7AC870000-0x00007FF7ACC61000-memory.dmp	xmrig
behavioral2/memory/2888-1244-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp	xmrig
behavioral2/memory/1740-1353-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp	xmrig
behavioral2/memory/2708-1454-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp	xmrig
behavioral2/memory/4896-1457-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp	xmrig
behavioral2/memory/1740-2145-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp	xmrig
behavioral2/memory/2888-2166-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp	xmrig
behavioral2/memory/4220-2169-0x00007FF6D07F0000-0x00007FF6D0BE1000-memory.dmp	xmrig
behavioral2/memory/4056-2175-0x00007FF760B70000-0x00007FF760F61000-memory.dmp	xmrig
behavioral2/memory/388-2174-0x00007FF6F67F0000-0x00007FF6F6BE1000-memory.dmp	xmrig
behavioral2/memory/4508-2177-0x00007FF6084F0000-0x00007FF6088E1000-memory.dmp	xmrig
behavioral2/memory/4896-2168-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp	xmrig
behavioral2/memory/1456-2171-0x00007FF6BC650000-0x00007FF6BCA41000-memory.dmp	xmrig
behavioral2/memory/2708-2163-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp	xmrig
behavioral2/memory/4196-2187-0x00007FF706190000-0x00007FF706581000-memory.dmp	xmrig
behavioral2/memory/2004-2186-0x00007FF63A2A0000-0x00007FF63A691000-memory.dmp	xmrig
behavioral2/memory/5104-2181-0x00007FF73B680000-0x00007FF73BA71000-memory.dmp	xmrig
behavioral2/memory/4856-2241-0x00007FF66E750000-0x00007FF66EB41000-memory.dmp	xmrig
behavioral2/memory/2524-2235-0x00007FF7AC870000-0x00007FF7ACC61000-memory.dmp	xmrig
behavioral2/memory/3408-2224-0x00007FF755670000-0x00007FF755A61000-memory.dmp	xmrig
behavioral2/memory/2300-2222-0x00007FF7BD6D0000-0x00007FF7BDAC1000-memory.dmp	xmrig
behavioral2/memory/2424-2220-0x00007FF73EA00000-0x00007FF73EDF1000-memory.dmp	xmrig
behavioral2/memory/4348-2219-0x00007FF6A3A50000-0x00007FF6A3E41000-memory.dmp	xmrig
behavioral2/memory/1148-2228-0x00007FF6AAE60000-0x00007FF6AB251000-memory.dmp	xmrig
behavioral2/memory/4936-2226-0x00007FF751930000-0x00007FF751D21000-memory.dmp	xmrig
behavioral2/memory/2428-2216-0x00007FF7A72C0000-0x00007FF7A76B1000-memory.dmp	xmrig
behavioral2/memory/3788-2179-0x00007FF717280000-0x00007FF717671000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2888	TByjBMN.exe
2708	bLUdvRl.exe
4220	xxslTMh.exe
4896	AJzKJMZ.exe
1456	zurVuWj.exe
388	qhgbCqz.exe
4056	gyYRJpO.exe
4508	QAFPIDU.exe
3788	PInwOmL.exe
2004	SOkSsue.exe
5104	THKfzQR.exe
2828	yUZvXPO.exe
2428	yXoiWIc.exe
4196	sRAdfzh.exe
2228	UNRyJby.exe
2424	NyGyqXS.exe
3408	borzMLK.exe
4348	MvZxQdZ.exe
2300	rUOHzrZ.exe
4936	aIuWOnm.exe
2436	InSUpLc.exe
2524	CqcevDs.exe
4856	hwlIFLa.exe
1148	JtFiUYq.exe
884	vujwBUs.exe
3308	wtcMHdH.exe
2132	TmCFLti.exe
552	YRTGqKl.exe
996	bYbhwII.exe
3272	nDDzLQa.exe
1900	kfrPVFL.exe
3636	HvocLTx.exe
1256	DuitRkx.exe
3152	QwQpYps.exe
4252	srcmoJO.exe
4440	wdunpDk.exe
3280	nysqyzs.exe
1988	SOwadpG.exe
1844	RCErTBV.exe
4880	ItOiaMV.exe
4424	AjvzPbo.exe
3800	JcAwsEl.exe
3288	yTJsusc.exe
1524	balfsLs.exe
1100	vABGtOj.exe
3976	CTqgCaT.exe
1040	rhUmKLk.exe
4396	eOLOQJy.exe
4140	tgdpLOT.exe
4272	NHyusyD.exe
1968	SRLzAnz.exe
4368	CXZobak.exe
3360	BJmHCVR.exe
4132	WuXymsl.exe
2408	vkLjByg.exe
1220	AhPmarq.exe
3108	zyKtaiO.exe
1216	aciaasZ.exe
3944	iGxWetZ.exe
1428	sMqlKzx.exe
1976	nXdIDIW.exe
3876	LEFjrmM.exe
3980	fykANvu.exe
3128	ZtOhSWl.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1740-0-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp	upx
behavioral2/files/0x0009000000023426-15.dat	upx
behavioral2/files/0x000700000002342d-16.dat	upx
behavioral2/memory/2888-17-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp	upx
behavioral2/files/0x000700000002342e-22.dat	upx
behavioral2/files/0x0007000000023430-29.dat	upx
behavioral2/files/0x0007000000023431-34.dat	upx
behavioral2/files/0x0007000000023432-39.dat	upx
behavioral2/files/0x0007000000023434-49.dat	upx
behavioral2/files/0x0007000000023435-54.dat	upx
behavioral2/files/0x0007000000023437-62.dat	upx
behavioral2/files/0x0007000000023438-69.dat	upx
behavioral2/files/0x000700000002343a-77.dat	upx
behavioral2/files/0x000700000002343c-87.dat	upx
behavioral2/files/0x0007000000023440-107.dat	upx
behavioral2/files/0x0007000000023442-119.dat	upx
behavioral2/files/0x0007000000023447-144.dat	upx
behavioral2/files/0x000700000002344a-159.dat	upx
behavioral2/memory/388-433-0x00007FF6F67F0000-0x00007FF6F6BE1000-memory.dmp	upx
behavioral2/files/0x000700000002344b-164.dat	upx
behavioral2/files/0x0007000000023449-154.dat	upx
behavioral2/files/0x0007000000023448-149.dat	upx
behavioral2/files/0x0007000000023446-139.dat	upx
behavioral2/files/0x0007000000023445-134.dat	upx
behavioral2/files/0x0007000000023444-129.dat	upx
behavioral2/files/0x0007000000023443-124.dat	upx
behavioral2/files/0x0007000000023441-114.dat	upx
behavioral2/files/0x000700000002343f-104.dat	upx
behavioral2/files/0x000700000002343e-99.dat	upx
behavioral2/files/0x000700000002343d-94.dat	upx
behavioral2/files/0x000700000002343b-84.dat	upx
behavioral2/files/0x0007000000023439-74.dat	upx
behavioral2/files/0x0007000000023436-59.dat	upx
behavioral2/files/0x0007000000023433-44.dat	upx
behavioral2/memory/4896-27-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp	upx
behavioral2/files/0x000700000002342f-20.dat	upx
behavioral2/memory/2708-19-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp	upx
behavioral2/memory/4508-435-0x00007FF6084F0000-0x00007FF6088E1000-memory.dmp	upx
behavioral2/memory/4056-434-0x00007FF760B70000-0x00007FF760F61000-memory.dmp	upx
behavioral2/memory/3788-436-0x00007FF717280000-0x00007FF717671000-memory.dmp	upx
behavioral2/memory/2004-437-0x00007FF63A2A0000-0x00007FF63A691000-memory.dmp	upx
behavioral2/memory/5104-438-0x00007FF73B680000-0x00007FF73BA71000-memory.dmp	upx
behavioral2/memory/2828-443-0x00007FF7B1C90000-0x00007FF7B2081000-memory.dmp	upx
behavioral2/memory/2428-446-0x00007FF7A72C0000-0x00007FF7A76B1000-memory.dmp	upx
behavioral2/memory/2424-463-0x00007FF73EA00000-0x00007FF73EDF1000-memory.dmp	upx
behavioral2/memory/4348-473-0x00007FF6A3A50000-0x00007FF6A3E41000-memory.dmp	upx
behavioral2/memory/2300-478-0x00007FF7BD6D0000-0x00007FF7BDAC1000-memory.dmp	upx
behavioral2/memory/3408-469-0x00007FF755670000-0x00007FF755A61000-memory.dmp	upx
behavioral2/memory/2228-456-0x00007FF615790000-0x00007FF615B81000-memory.dmp	upx
behavioral2/memory/4196-449-0x00007FF706190000-0x00007FF706581000-memory.dmp	upx
behavioral2/memory/4936-480-0x00007FF751930000-0x00007FF751D21000-memory.dmp	upx
behavioral2/memory/2436-485-0x00007FF6F5610000-0x00007FF6F5A01000-memory.dmp	upx
behavioral2/memory/1148-493-0x00007FF6AAE60000-0x00007FF6AB251000-memory.dmp	upx
behavioral2/memory/4220-497-0x00007FF6D07F0000-0x00007FF6D0BE1000-memory.dmp	upx
behavioral2/memory/1456-501-0x00007FF6BC650000-0x00007FF6BCA41000-memory.dmp	upx
behavioral2/memory/4856-491-0x00007FF66E750000-0x00007FF66EB41000-memory.dmp	upx
behavioral2/memory/2524-486-0x00007FF7AC870000-0x00007FF7ACC61000-memory.dmp	upx
behavioral2/memory/2888-1244-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp	upx
behavioral2/memory/1740-1353-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp	upx
behavioral2/memory/2708-1454-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp	upx
behavioral2/memory/4896-1457-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp	upx
behavioral2/memory/1740-2145-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp	upx
behavioral2/memory/2888-2166-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp	upx
behavioral2/memory/4220-2169-0x00007FF6D07F0000-0x00007FF6D0BE1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\NlvLkiX.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\HgjPFMt.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\xbdjfKS.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\QAFPIDU.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\FmnzqQr.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\jroPcop.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\xAOetms.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\lqbZYxb.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\EBHmscQ.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\IXSduUE.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\tjuDbCT.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\lZLGEAF.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\KXVGMch.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\IDPxIpu.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\bsOrZTv.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\QwQpYps.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\vABGtOj.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\bGnNAPv.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\VBlJLMb.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\yvIilVZ.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\yTJsusc.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\XZPnCkJ.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\FjhqzBB.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\mktcibg.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\WFNVwHk.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\qSnkbhY.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\DPROVyX.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\PtsUoVk.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\xEWcGGl.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\Qpiizsr.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\PnVEPdX.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\mKnzhgL.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\ugHDhNG.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\urrDFfA.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\BWbrttZ.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\nysfCsm.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\lkWcKrC.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\GWzyioc.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\FoqsuBH.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\YquIdZv.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\WSajxan.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\yvMSRig.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\tSIqEyZ.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\ooPsQKn.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\HkpfkAl.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\MPGZXIW.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\vNiRcWv.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\xJhjhAg.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\yUZvXPO.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\KIkhrIy.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\GUYunpY.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\TTNKNJu.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\VVWvBFx.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\ZeuLome.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\jckRkgA.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\OBBqyDh.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\CEujSOY.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\pVdcRIn.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\wOFGFLK.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\BYtOlyc.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\DxvSOWk.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\qozwGVj.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\KYzhVMN.exe	c4a9f48e6e380752003675e58b669c20N.exe
File created	C:\Windows\System32\nSZSRtU.exe	c4a9f48e6e380752003675e58b669c20N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Checks processor information in registry 2 TTPs 3 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WerFaultSecure.exe

Enumerates system info in registry 2 TTPs 4 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\BIOS	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	WerFaultSecure.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
14020	WerFaultSecure.exe
14020	WerFaultSecure.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	14064	dwm.exe
Token: SeChangeNotifyPrivilege	14064	dwm.exe
Token: 33	14064	dwm.exe
Token: SeIncBasePriorityPrivilege	14064	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1740 wrote to memory of 2888	1740	c4a9f48e6e380752003675e58b669c20N.exe	85
PID 1740 wrote to memory of 2888	1740	c4a9f48e6e380752003675e58b669c20N.exe	85
PID 1740 wrote to memory of 2708	1740	c4a9f48e6e380752003675e58b669c20N.exe	86
PID 1740 wrote to memory of 2708	1740	c4a9f48e6e380752003675e58b669c20N.exe	86
PID 1740 wrote to memory of 4220	1740	c4a9f48e6e380752003675e58b669c20N.exe	87
PID 1740 wrote to memory of 4220	1740	c4a9f48e6e380752003675e58b669c20N.exe	87
PID 1740 wrote to memory of 4896	1740	c4a9f48e6e380752003675e58b669c20N.exe	88
PID 1740 wrote to memory of 4896	1740	c4a9f48e6e380752003675e58b669c20N.exe	88
PID 1740 wrote to memory of 1456	1740	c4a9f48e6e380752003675e58b669c20N.exe	89
PID 1740 wrote to memory of 1456	1740	c4a9f48e6e380752003675e58b669c20N.exe	89
PID 1740 wrote to memory of 388	1740	c4a9f48e6e380752003675e58b669c20N.exe	90
PID 1740 wrote to memory of 388	1740	c4a9f48e6e380752003675e58b669c20N.exe	90
PID 1740 wrote to memory of 4056	1740	c4a9f48e6e380752003675e58b669c20N.exe	91
PID 1740 wrote to memory of 4056	1740	c4a9f48e6e380752003675e58b669c20N.exe	91
PID 1740 wrote to memory of 4508	1740	c4a9f48e6e380752003675e58b669c20N.exe	92
PID 1740 wrote to memory of 4508	1740	c4a9f48e6e380752003675e58b669c20N.exe	92
PID 1740 wrote to memory of 3788	1740	c4a9f48e6e380752003675e58b669c20N.exe	93
PID 1740 wrote to memory of 3788	1740	c4a9f48e6e380752003675e58b669c20N.exe	93
PID 1740 wrote to memory of 2004	1740	c4a9f48e6e380752003675e58b669c20N.exe	94
PID 1740 wrote to memory of 2004	1740	c4a9f48e6e380752003675e58b669c20N.exe	94
PID 1740 wrote to memory of 5104	1740	c4a9f48e6e380752003675e58b669c20N.exe	95
PID 1740 wrote to memory of 5104	1740	c4a9f48e6e380752003675e58b669c20N.exe	95
PID 1740 wrote to memory of 2828	1740	c4a9f48e6e380752003675e58b669c20N.exe	96
PID 1740 wrote to memory of 2828	1740	c4a9f48e6e380752003675e58b669c20N.exe	96
PID 1740 wrote to memory of 2428	1740	c4a9f48e6e380752003675e58b669c20N.exe	97
PID 1740 wrote to memory of 2428	1740	c4a9f48e6e380752003675e58b669c20N.exe	97
PID 1740 wrote to memory of 4196	1740	c4a9f48e6e380752003675e58b669c20N.exe	98
PID 1740 wrote to memory of 4196	1740	c4a9f48e6e380752003675e58b669c20N.exe	98
PID 1740 wrote to memory of 2228	1740	c4a9f48e6e380752003675e58b669c20N.exe	99
PID 1740 wrote to memory of 2228	1740	c4a9f48e6e380752003675e58b669c20N.exe	99
PID 1740 wrote to memory of 2424	1740	c4a9f48e6e380752003675e58b669c20N.exe	100
PID 1740 wrote to memory of 2424	1740	c4a9f48e6e380752003675e58b669c20N.exe	100
PID 1740 wrote to memory of 3408	1740	c4a9f48e6e380752003675e58b669c20N.exe	101
PID 1740 wrote to memory of 3408	1740	c4a9f48e6e380752003675e58b669c20N.exe	101
PID 1740 wrote to memory of 4348	1740	c4a9f48e6e380752003675e58b669c20N.exe	102
PID 1740 wrote to memory of 4348	1740	c4a9f48e6e380752003675e58b669c20N.exe	102
PID 1740 wrote to memory of 2300	1740	c4a9f48e6e380752003675e58b669c20N.exe	103
PID 1740 wrote to memory of 2300	1740	c4a9f48e6e380752003675e58b669c20N.exe	103
PID 1740 wrote to memory of 4936	1740	c4a9f48e6e380752003675e58b669c20N.exe	104
PID 1740 wrote to memory of 4936	1740	c4a9f48e6e380752003675e58b669c20N.exe	104
PID 1740 wrote to memory of 2436	1740	c4a9f48e6e380752003675e58b669c20N.exe	105
PID 1740 wrote to memory of 2436	1740	c4a9f48e6e380752003675e58b669c20N.exe	105
PID 1740 wrote to memory of 2524	1740	c4a9f48e6e380752003675e58b669c20N.exe	106
PID 1740 wrote to memory of 2524	1740	c4a9f48e6e380752003675e58b669c20N.exe	106
PID 1740 wrote to memory of 4856	1740	c4a9f48e6e380752003675e58b669c20N.exe	107
PID 1740 wrote to memory of 4856	1740	c4a9f48e6e380752003675e58b669c20N.exe	107
PID 1740 wrote to memory of 1148	1740	c4a9f48e6e380752003675e58b669c20N.exe	108
PID 1740 wrote to memory of 1148	1740	c4a9f48e6e380752003675e58b669c20N.exe	108
PID 1740 wrote to memory of 884	1740	c4a9f48e6e380752003675e58b669c20N.exe	109
PID 1740 wrote to memory of 884	1740	c4a9f48e6e380752003675e58b669c20N.exe	109
PID 1740 wrote to memory of 3308	1740	c4a9f48e6e380752003675e58b669c20N.exe	110
PID 1740 wrote to memory of 3308	1740	c4a9f48e6e380752003675e58b669c20N.exe	110
PID 1740 wrote to memory of 2132	1740	c4a9f48e6e380752003675e58b669c20N.exe	111
PID 1740 wrote to memory of 2132	1740	c4a9f48e6e380752003675e58b669c20N.exe	111
PID 1740 wrote to memory of 552	1740	c4a9f48e6e380752003675e58b669c20N.exe	112
PID 1740 wrote to memory of 552	1740	c4a9f48e6e380752003675e58b669c20N.exe	112
PID 1740 wrote to memory of 996	1740	c4a9f48e6e380752003675e58b669c20N.exe	113
PID 1740 wrote to memory of 996	1740	c4a9f48e6e380752003675e58b669c20N.exe	113
PID 1740 wrote to memory of 3272	1740	c4a9f48e6e380752003675e58b669c20N.exe	114
PID 1740 wrote to memory of 3272	1740	c4a9f48e6e380752003675e58b669c20N.exe	114
PID 1740 wrote to memory of 1900	1740	c4a9f48e6e380752003675e58b669c20N.exe	115
PID 1740 wrote to memory of 1900	1740	c4a9f48e6e380752003675e58b669c20N.exe	115
PID 1740 wrote to memory of 3636	1740	c4a9f48e6e380752003675e58b669c20N.exe	116
PID 1740 wrote to memory of 3636	1740	c4a9f48e6e380752003675e58b669c20N.exe	116

C:\Users\Admin\AppData\Local\Temp\c4a9f48e6e380752003675e58b669c20N.exe
"C:\Users\Admin\AppData\Local\Temp\c4a9f48e6e380752003675e58b669c20N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1740
- C:\Windows\System32\TByjBMN.exe
  C:\Windows\System32\TByjBMN.exe
  2⤵
  - Executes dropped EXE
  PID:2888
- C:\Windows\System32\bLUdvRl.exe
  C:\Windows\System32\bLUdvRl.exe
  2⤵
  - Executes dropped EXE
  PID:2708
- C:\Windows\System32\xxslTMh.exe
  C:\Windows\System32\xxslTMh.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\AJzKJMZ.exe
  C:\Windows\System32\AJzKJMZ.exe
  2⤵
  - Executes dropped EXE
  PID:4896
- C:\Windows\System32\zurVuWj.exe
  C:\Windows\System32\zurVuWj.exe
  2⤵
  - Executes dropped EXE
  PID:1456
- C:\Windows\System32\qhgbCqz.exe
  C:\Windows\System32\qhgbCqz.exe
  2⤵
  - Executes dropped EXE
  PID:388
- C:\Windows\System32\gyYRJpO.exe
  C:\Windows\System32\gyYRJpO.exe
  2⤵
  - Executes dropped EXE
  PID:4056
- C:\Windows\System32\QAFPIDU.exe
  C:\Windows\System32\QAFPIDU.exe
  2⤵
  - Executes dropped EXE
  PID:4508
- C:\Windows\System32\PInwOmL.exe
  C:\Windows\System32\PInwOmL.exe
  2⤵
  - Executes dropped EXE
  PID:3788
- C:\Windows\System32\SOkSsue.exe
  C:\Windows\System32\SOkSsue.exe
  2⤵
  - Executes dropped EXE
  PID:2004
- C:\Windows\System32\THKfzQR.exe
  C:\Windows\System32\THKfzQR.exe
  2⤵
  - Executes dropped EXE
  PID:5104
- C:\Windows\System32\yUZvXPO.exe
  C:\Windows\System32\yUZvXPO.exe
  2⤵
  - Executes dropped EXE
  PID:2828
- C:\Windows\System32\yXoiWIc.exe
  C:\Windows\System32\yXoiWIc.exe
  2⤵
  - Executes dropped EXE
  PID:2428
- C:\Windows\System32\sRAdfzh.exe
  C:\Windows\System32\sRAdfzh.exe
  2⤵
  - Executes dropped EXE
  PID:4196
- C:\Windows\System32\UNRyJby.exe
  C:\Windows\System32\UNRyJby.exe
  2⤵
  - Executes dropped EXE
  PID:2228
- C:\Windows\System32\NyGyqXS.exe
  C:\Windows\System32\NyGyqXS.exe
  2⤵
  - Executes dropped EXE
  PID:2424
- C:\Windows\System32\borzMLK.exe
  C:\Windows\System32\borzMLK.exe
  2⤵
  - Executes dropped EXE
  PID:3408
- C:\Windows\System32\MvZxQdZ.exe
  C:\Windows\System32\MvZxQdZ.exe
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Windows\System32\rUOHzrZ.exe
  C:\Windows\System32\rUOHzrZ.exe
  2⤵
  - Executes dropped EXE
  PID:2300
- C:\Windows\System32\aIuWOnm.exe
  C:\Windows\System32\aIuWOnm.exe
  2⤵
  - Executes dropped EXE
  PID:4936
- C:\Windows\System32\InSUpLc.exe
  C:\Windows\System32\InSUpLc.exe
  2⤵
  - Executes dropped EXE
  PID:2436
- C:\Windows\System32\CqcevDs.exe
  C:\Windows\System32\CqcevDs.exe
  2⤵
  - Executes dropped EXE
  PID:2524
- C:\Windows\System32\hwlIFLa.exe
  C:\Windows\System32\hwlIFLa.exe
  2⤵
  - Executes dropped EXE
  PID:4856
- C:\Windows\System32\JtFiUYq.exe
  C:\Windows\System32\JtFiUYq.exe
  2⤵
  - Executes dropped EXE
  PID:1148
- C:\Windows\System32\vujwBUs.exe
  C:\Windows\System32\vujwBUs.exe
  2⤵
  - Executes dropped EXE
  PID:884
- C:\Windows\System32\wtcMHdH.exe
  C:\Windows\System32\wtcMHdH.exe
  2⤵
  - Executes dropped EXE
  PID:3308
- C:\Windows\System32\TmCFLti.exe
  C:\Windows\System32\TmCFLti.exe
  2⤵
  - Executes dropped EXE
  PID:2132
- C:\Windows\System32\YRTGqKl.exe
  C:\Windows\System32\YRTGqKl.exe
  2⤵
  - Executes dropped EXE
  PID:552
- C:\Windows\System32\bYbhwII.exe
  C:\Windows\System32\bYbhwII.exe
  2⤵
  - Executes dropped EXE
  PID:996
- C:\Windows\System32\nDDzLQa.exe
  C:\Windows\System32\nDDzLQa.exe
  2⤵
  - Executes dropped EXE
  PID:3272
- C:\Windows\System32\kfrPVFL.exe
  C:\Windows\System32\kfrPVFL.exe
  2⤵
  - Executes dropped EXE
  PID:1900
- C:\Windows\System32\HvocLTx.exe
  C:\Windows\System32\HvocLTx.exe
  2⤵
  - Executes dropped EXE
  PID:3636
- C:\Windows\System32\DuitRkx.exe
  C:\Windows\System32\DuitRkx.exe
  2⤵
  - Executes dropped EXE
  PID:1256
- C:\Windows\System32\QwQpYps.exe
  C:\Windows\System32\QwQpYps.exe
  2⤵
  - Executes dropped EXE
  PID:3152
- C:\Windows\System32\srcmoJO.exe
  C:\Windows\System32\srcmoJO.exe
  2⤵
  - Executes dropped EXE
  PID:4252
- C:\Windows\System32\wdunpDk.exe
  C:\Windows\System32\wdunpDk.exe
  2⤵
  - Executes dropped EXE
  PID:4440
- C:\Windows\System32\nysqyzs.exe
  C:\Windows\System32\nysqyzs.exe
  2⤵
  - Executes dropped EXE
  PID:3280
- C:\Windows\System32\SOwadpG.exe
  C:\Windows\System32\SOwadpG.exe
  2⤵
  - Executes dropped EXE
  PID:1988
- C:\Windows\System32\RCErTBV.exe
  C:\Windows\System32\RCErTBV.exe
  2⤵
  - Executes dropped EXE
  PID:1844
- C:\Windows\System32\ItOiaMV.exe
  C:\Windows\System32\ItOiaMV.exe
  2⤵
  - Executes dropped EXE
  PID:4880
- C:\Windows\System32\AjvzPbo.exe
  C:\Windows\System32\AjvzPbo.exe
  2⤵
  - Executes dropped EXE
  PID:4424
- C:\Windows\System32\JcAwsEl.exe
  C:\Windows\System32\JcAwsEl.exe
  2⤵
  - Executes dropped EXE
  PID:3800
- C:\Windows\System32\yTJsusc.exe
  C:\Windows\System32\yTJsusc.exe
  2⤵
  - Executes dropped EXE
  PID:3288
- C:\Windows\System32\balfsLs.exe
  C:\Windows\System32\balfsLs.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\vABGtOj.exe
  C:\Windows\System32\vABGtOj.exe
  2⤵
  - Executes dropped EXE
  PID:1100
- C:\Windows\System32\CTqgCaT.exe
  C:\Windows\System32\CTqgCaT.exe
  2⤵
  - Executes dropped EXE
  PID:3976
- C:\Windows\System32\rhUmKLk.exe
  C:\Windows\System32\rhUmKLk.exe
  2⤵
  - Executes dropped EXE
  PID:1040
- C:\Windows\System32\eOLOQJy.exe
  C:\Windows\System32\eOLOQJy.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\tgdpLOT.exe
  C:\Windows\System32\tgdpLOT.exe
  2⤵
  - Executes dropped EXE
  PID:4140
- C:\Windows\System32\NHyusyD.exe
  C:\Windows\System32\NHyusyD.exe
  2⤵
  - Executes dropped EXE
  PID:4272
- C:\Windows\System32\SRLzAnz.exe
  C:\Windows\System32\SRLzAnz.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\CXZobak.exe
  C:\Windows\System32\CXZobak.exe
  2⤵
  - Executes dropped EXE
  PID:4368
- C:\Windows\System32\BJmHCVR.exe
  C:\Windows\System32\BJmHCVR.exe
  2⤵
  - Executes dropped EXE
  PID:3360
- C:\Windows\System32\WuXymsl.exe
  C:\Windows\System32\WuXymsl.exe
  2⤵
  - Executes dropped EXE
  PID:4132
- C:\Windows\System32\vkLjByg.exe
  C:\Windows\System32\vkLjByg.exe
  2⤵
  - Executes dropped EXE
  PID:2408
- C:\Windows\System32\AhPmarq.exe
  C:\Windows\System32\AhPmarq.exe
  2⤵
  - Executes dropped EXE
  PID:1220
- C:\Windows\System32\zyKtaiO.exe
  C:\Windows\System32\zyKtaiO.exe
  2⤵
  - Executes dropped EXE
  PID:3108
- C:\Windows\System32\aciaasZ.exe
  C:\Windows\System32\aciaasZ.exe
  2⤵
  - Executes dropped EXE
  PID:1216
- C:\Windows\System32\iGxWetZ.exe
  C:\Windows\System32\iGxWetZ.exe
  2⤵
  - Executes dropped EXE
  PID:3944
- C:\Windows\System32\sMqlKzx.exe
  C:\Windows\System32\sMqlKzx.exe
  2⤵
  - Executes dropped EXE
  PID:1428
- C:\Windows\System32\nXdIDIW.exe
  C:\Windows\System32\nXdIDIW.exe
  2⤵
  - Executes dropped EXE
  PID:1976
- C:\Windows\System32\LEFjrmM.exe
  C:\Windows\System32\LEFjrmM.exe
  2⤵
  - Executes dropped EXE
  PID:3876
- C:\Windows\System32\fykANvu.exe
  C:\Windows\System32\fykANvu.exe
  2⤵
  - Executes dropped EXE
  PID:3980
- C:\Windows\System32\ZtOhSWl.exe
  C:\Windows\System32\ZtOhSWl.exe
  2⤵
  - Executes dropped EXE
  PID:3128
- C:\Windows\System32\BKoEgxL.exe
  C:\Windows\System32\BKoEgxL.exe
  2⤵
  PID:4640
- C:\Windows\System32\pveZIll.exe
  C:\Windows\System32\pveZIll.exe
  2⤵
  PID:1536
- C:\Windows\System32\yOqLoLv.exe
  C:\Windows\System32\yOqLoLv.exe
  2⤵
  PID:1532
- C:\Windows\System32\zXvhRIb.exe
  C:\Windows\System32\zXvhRIb.exe
  2⤵
  PID:4496
- C:\Windows\System32\urrDFfA.exe
  C:\Windows\System32\urrDFfA.exe
  2⤵
  PID:1120
- C:\Windows\System32\BWbrttZ.exe
  C:\Windows\System32\BWbrttZ.exe
  2⤵
  PID:2696
- C:\Windows\System32\LgGRLTp.exe
  C:\Windows\System32\LgGRLTp.exe
  2⤵
  PID:4984
- C:\Windows\System32\FmnzqQr.exe
  C:\Windows\System32\FmnzqQr.exe
  2⤵
  PID:404
- C:\Windows\System32\AhSgMTQ.exe
  C:\Windows\System32\AhSgMTQ.exe
  2⤵
  PID:3208
- C:\Windows\System32\EVhbpUr.exe
  C:\Windows\System32\EVhbpUr.exe
  2⤵
  PID:4072
- C:\Windows\System32\EDBokMe.exe
  C:\Windows\System32\EDBokMe.exe
  2⤵
  PID:1704
- C:\Windows\System32\qSnkbhY.exe
  C:\Windows\System32\qSnkbhY.exe
  2⤵
  PID:5068
- C:\Windows\System32\ouETYZJ.exe
  C:\Windows\System32\ouETYZJ.exe
  2⤵
  PID:4084
- C:\Windows\System32\VBiWIDt.exe
  C:\Windows\System32\VBiWIDt.exe
  2⤵
  PID:4852
- C:\Windows\System32\kxLfUHa.exe
  C:\Windows\System32\kxLfUHa.exe
  2⤵
  PID:2204
- C:\Windows\System32\YZXbbAO.exe
  C:\Windows\System32\YZXbbAO.exe
  2⤵
  PID:536
- C:\Windows\System32\dFcroQo.exe
  C:\Windows\System32\dFcroQo.exe
  2⤵
  PID:4920
- C:\Windows\System32\vSvCiby.exe
  C:\Windows\System32\vSvCiby.exe
  2⤵
  PID:5144
- C:\Windows\System32\PWKYmFh.exe
  C:\Windows\System32\PWKYmFh.exe
  2⤵
  PID:5160
- C:\Windows\System32\IkUWFQn.exe
  C:\Windows\System32\IkUWFQn.exe
  2⤵
  PID:5188
- C:\Windows\System32\GTZXLIb.exe
  C:\Windows\System32\GTZXLIb.exe
  2⤵
  PID:5216
- C:\Windows\System32\KkyJKFb.exe
  C:\Windows\System32\KkyJKFb.exe
  2⤵
  PID:5256
- C:\Windows\System32\BUskpRa.exe
  C:\Windows\System32\BUskpRa.exe
  2⤵
  PID:5272
- C:\Windows\System32\mCjjznV.exe
  C:\Windows\System32\mCjjznV.exe
  2⤵
  PID:5312
- C:\Windows\System32\VVWvBFx.exe
  C:\Windows\System32\VVWvBFx.exe
  2⤵
  PID:5328
- C:\Windows\System32\DUCTZOZ.exe
  C:\Windows\System32\DUCTZOZ.exe
  2⤵
  PID:5356
- C:\Windows\System32\iKsZiIs.exe
  C:\Windows\System32\iKsZiIs.exe
  2⤵
  PID:5384
- C:\Windows\System32\xzBXcwU.exe
  C:\Windows\System32\xzBXcwU.exe
  2⤵
  PID:5424
- C:\Windows\System32\hODgLXi.exe
  C:\Windows\System32\hODgLXi.exe
  2⤵
  PID:5452
- C:\Windows\System32\pIBIqYP.exe
  C:\Windows\System32\pIBIqYP.exe
  2⤵
  PID:5480
- C:\Windows\System32\MgXLRbz.exe
  C:\Windows\System32\MgXLRbz.exe
  2⤵
  PID:5508
- C:\Windows\System32\VEzuYAT.exe
  C:\Windows\System32\VEzuYAT.exe
  2⤵
  PID:5536
- C:\Windows\System32\LCJFXBo.exe
  C:\Windows\System32\LCJFXBo.exe
  2⤵
  PID:5564
- C:\Windows\System32\OwYRYqa.exe
  C:\Windows\System32\OwYRYqa.exe
  2⤵
  PID:5592
- C:\Windows\System32\zovsAwX.exe
  C:\Windows\System32\zovsAwX.exe
  2⤵
  PID:5620
- C:\Windows\System32\dJTBACE.exe
  C:\Windows\System32\dJTBACE.exe
  2⤵
  PID:5648
- C:\Windows\System32\uOAvmGN.exe
  C:\Windows\System32\uOAvmGN.exe
  2⤵
  PID:5668
- C:\Windows\System32\LKjxfqq.exe
  C:\Windows\System32\LKjxfqq.exe
  2⤵
  PID:5704
- C:\Windows\System32\ohOomhL.exe
  C:\Windows\System32\ohOomhL.exe
  2⤵
  PID:5736
- C:\Windows\System32\PrSucdr.exe
  C:\Windows\System32\PrSucdr.exe
  2⤵
  PID:5760
- C:\Windows\System32\NEIEiRk.exe
  C:\Windows\System32\NEIEiRk.exe
  2⤵
  PID:5788
- C:\Windows\System32\XANOOGq.exe
  C:\Windows\System32\XANOOGq.exe
  2⤵
  PID:5804
- C:\Windows\System32\FRCglfq.exe
  C:\Windows\System32\FRCglfq.exe
  2⤵
  PID:5832
- C:\Windows\System32\qEaOdPS.exe
  C:\Windows\System32\qEaOdPS.exe
  2⤵
  PID:5872
- C:\Windows\System32\MzOYDAv.exe
  C:\Windows\System32\MzOYDAv.exe
  2⤵
  PID:5888
- C:\Windows\System32\UgCnDce.exe
  C:\Windows\System32\UgCnDce.exe
  2⤵
  PID:5916
- C:\Windows\System32\JURnoqN.exe
  C:\Windows\System32\JURnoqN.exe
  2⤵
  PID:5944
- C:\Windows\System32\COfeDou.exe
  C:\Windows\System32\COfeDou.exe
  2⤵
  PID:5984
- C:\Windows\System32\hYzYmFy.exe
  C:\Windows\System32\hYzYmFy.exe
  2⤵
  PID:6000
- C:\Windows\System32\fVZrCBt.exe
  C:\Windows\System32\fVZrCBt.exe
  2⤵
  PID:6040
- C:\Windows\System32\tfgsvtC.exe
  C:\Windows\System32\tfgsvtC.exe
  2⤵
  PID:6056
- C:\Windows\System32\ZeuLome.exe
  C:\Windows\System32\ZeuLome.exe
  2⤵
  PID:6084
- C:\Windows\System32\LXpjSdl.exe
  C:\Windows\System32\LXpjSdl.exe
  2⤵
  PID:6112
- C:\Windows\System32\fSZXgZd.exe
  C:\Windows\System32\fSZXgZd.exe
  2⤵
  PID:4888
- C:\Windows\System32\DNcXBaM.exe
  C:\Windows\System32\DNcXBaM.exe
  2⤵
  PID:5056
- C:\Windows\System32\neyvhaQ.exe
  C:\Windows\System32\neyvhaQ.exe
  2⤵
  PID:816
- C:\Windows\System32\FBzyDoX.exe
  C:\Windows\System32\FBzyDoX.exe
  2⤵
  PID:3564
- C:\Windows\System32\uUzmaQM.exe
  C:\Windows\System32\uUzmaQM.exe
  2⤵
  PID:5176
- C:\Windows\System32\ywXsjDA.exe
  C:\Windows\System32\ywXsjDA.exe
  2⤵
  PID:5344
- C:\Windows\System32\hrXsRjD.exe
  C:\Windows\System32\hrXsRjD.exe
  2⤵
  PID:5396
- C:\Windows\System32\YhKKiYy.exe
  C:\Windows\System32\YhKKiYy.exe
  2⤵
  PID:5432
- C:\Windows\System32\lGOVKkc.exe
  C:\Windows\System32\lGOVKkc.exe
  2⤵
  PID:4100
- C:\Windows\System32\hxhbAhL.exe
  C:\Windows\System32\hxhbAhL.exe
  2⤵
  PID:5516
- C:\Windows\System32\MDNRwVM.exe
  C:\Windows\System32\MDNRwVM.exe
  2⤵
  PID:5544
- C:\Windows\System32\LxHbiOY.exe
  C:\Windows\System32\LxHbiOY.exe
  2⤵
  PID:5656
- C:\Windows\System32\FubptLu.exe
  C:\Windows\System32\FubptLu.exe
  2⤵
  PID:5684
- C:\Windows\System32\ADTdgCa.exe
  C:\Windows\System32\ADTdgCa.exe
  2⤵
  PID:5752
- C:\Windows\System32\mSgHeOY.exe
  C:\Windows\System32\mSgHeOY.exe
  2⤵
  PID:5800
- C:\Windows\System32\xJHOzIh.exe
  C:\Windows\System32\xJHOzIh.exe
  2⤵
  PID:5864
- C:\Windows\System32\ccuFpSq.exe
  C:\Windows\System32\ccuFpSq.exe
  2⤵
  PID:5900
- C:\Windows\System32\SkOHTVD.exe
  C:\Windows\System32\SkOHTVD.exe
  2⤵
  PID:3248
- C:\Windows\System32\HEkzMmT.exe
  C:\Windows\System32\HEkzMmT.exe
  2⤵
  PID:6080
- C:\Windows\System32\BYtOlyc.exe
  C:\Windows\System32\BYtOlyc.exe
  2⤵
  PID:6108
- C:\Windows\System32\jroPcop.exe
  C:\Windows\System32\jroPcop.exe
  2⤵
  PID:6128
- C:\Windows\System32\DPROVyX.exe
  C:\Windows\System32\DPROVyX.exe
  2⤵
  PID:628
- C:\Windows\System32\NIpsNSG.exe
  C:\Windows\System32\NIpsNSG.exe
  2⤵
  PID:5284
- C:\Windows\System32\LVSleIU.exe
  C:\Windows\System32\LVSleIU.exe
  2⤵
  PID:2052
- C:\Windows\System32\eiBqfjg.exe
  C:\Windows\System32\eiBqfjg.exe
  2⤵
  PID:2468
- C:\Windows\System32\bTAGtmM.exe
  C:\Windows\System32\bTAGtmM.exe
  2⤵
  PID:2724
- C:\Windows\System32\cvmJoBm.exe
  C:\Windows\System32\cvmJoBm.exe
  2⤵
  PID:5576
- C:\Windows\System32\fADkNfQ.exe
  C:\Windows\System32\fADkNfQ.exe
  2⤵
  PID:3640
- C:\Windows\System32\UoYvAlW.exe
  C:\Windows\System32\UoYvAlW.exe
  2⤵
  PID:5716
- C:\Windows\System32\UTgSKMP.exe
  C:\Windows\System32\UTgSKMP.exe
  2⤵
  PID:4808
- C:\Windows\System32\sZFENcN.exe
  C:\Windows\System32\sZFENcN.exe
  2⤵
  PID:4748
- C:\Windows\System32\hmXVJnb.exe
  C:\Windows\System32\hmXVJnb.exe
  2⤵
  PID:6136
- C:\Windows\System32\FucBXlL.exe
  C:\Windows\System32\FucBXlL.exe
  2⤵
  PID:6124
- C:\Windows\System32\xhHlGmZ.exe
  C:\Windows\System32\xhHlGmZ.exe
  2⤵
  PID:5444
- C:\Windows\System32\gPQIKyN.exe
  C:\Windows\System32\gPQIKyN.exe
  2⤵
  PID:1396
- C:\Windows\System32\DUJBPkh.exe
  C:\Windows\System32\DUJBPkh.exe
  2⤵
  PID:5064
- C:\Windows\System32\QlKdPIM.exe
  C:\Windows\System32\QlKdPIM.exe
  2⤵
  PID:3920
- C:\Windows\System32\aBCFBXH.exe
  C:\Windows\System32\aBCFBXH.exe
  2⤵
  PID:4104
- C:\Windows\System32\AjAbvNO.exe
  C:\Windows\System32\AjAbvNO.exe
  2⤵
  PID:6096
- C:\Windows\System32\ZoFmiTw.exe
  C:\Windows\System32\ZoFmiTw.exe
  2⤵
  PID:5340
- C:\Windows\System32\nysfCsm.exe
  C:\Windows\System32\nysfCsm.exe
  2⤵
  PID:5380
- C:\Windows\System32\oqoZuRJ.exe
  C:\Windows\System32\oqoZuRJ.exe
  2⤵
  PID:5780
- C:\Windows\System32\VPRLMWL.exe
  C:\Windows\System32\VPRLMWL.exe
  2⤵
  PID:5844
- C:\Windows\System32\TPIXkpO.exe
  C:\Windows\System32\TPIXkpO.exe
  2⤵
  PID:4580
- C:\Windows\System32\JCKhVYp.exe
  C:\Windows\System32\JCKhVYp.exe
  2⤵
  PID:412
- C:\Windows\System32\ZkRaQxt.exe
  C:\Windows\System32\ZkRaQxt.exe
  2⤵
  PID:3776
- C:\Windows\System32\ubsyAdT.exe
  C:\Windows\System32\ubsyAdT.exe
  2⤵
  PID:3728
- C:\Windows\System32\vYvIOKG.exe
  C:\Windows\System32\vYvIOKG.exe
  2⤵
  PID:5288
- C:\Windows\System32\MyTKXQV.exe
  C:\Windows\System32\MyTKXQV.exe
  2⤵
  PID:4520
- C:\Windows\System32\XZPnCkJ.exe
  C:\Windows\System32\XZPnCkJ.exe
  2⤵
  PID:5828
- C:\Windows\System32\AcIOeAJ.exe
  C:\Windows\System32\AcIOeAJ.exe
  2⤵
  PID:5744
- C:\Windows\System32\tjuDbCT.exe
  C:\Windows\System32\tjuDbCT.exe
  2⤵
  PID:2368
- C:\Windows\System32\jckRkgA.exe
  C:\Windows\System32\jckRkgA.exe
  2⤵
  PID:6168
- C:\Windows\System32\UNWgsTf.exe
  C:\Windows\System32\UNWgsTf.exe
  2⤵
  PID:6188
- C:\Windows\System32\taGrsyT.exe
  C:\Windows\System32\taGrsyT.exe
  2⤵
  PID:6216
- C:\Windows\System32\GpFJVMo.exe
  C:\Windows\System32\GpFJVMo.exe
  2⤵
  PID:6300
- C:\Windows\System32\gFDoXxc.exe
  C:\Windows\System32\gFDoXxc.exe
  2⤵
  PID:6324
- C:\Windows\System32\ywXdPdx.exe
  C:\Windows\System32\ywXdPdx.exe
  2⤵
  PID:6340
- C:\Windows\System32\TWphJEG.exe
  C:\Windows\System32\TWphJEG.exe
  2⤵
  PID:6356
- C:\Windows\System32\FpOYiIw.exe
  C:\Windows\System32\FpOYiIw.exe
  2⤵
  PID:6372
- C:\Windows\System32\SWXVzgt.exe
  C:\Windows\System32\SWXVzgt.exe
  2⤵
  PID:6392
- C:\Windows\System32\pIEtKhp.exe
  C:\Windows\System32\pIEtKhp.exe
  2⤵
  PID:6468
- C:\Windows\System32\sGJMDZa.exe
  C:\Windows\System32\sGJMDZa.exe
  2⤵
  PID:6560
- C:\Windows\System32\bfqAGye.exe
  C:\Windows\System32\bfqAGye.exe
  2⤵
  PID:6580
- C:\Windows\System32\MPjGgRz.exe
  C:\Windows\System32\MPjGgRz.exe
  2⤵
  PID:6596
- C:\Windows\System32\fmOGHty.exe
  C:\Windows\System32\fmOGHty.exe
  2⤵
  PID:6612
- C:\Windows\System32\tFscHaG.exe
  C:\Windows\System32\tFscHaG.exe
  2⤵
  PID:6628
- C:\Windows\System32\CWREZJy.exe
  C:\Windows\System32\CWREZJy.exe
  2⤵
  PID:6644
- C:\Windows\System32\Ynnjmdz.exe
  C:\Windows\System32\Ynnjmdz.exe
  2⤵
  PID:6660
- C:\Windows\System32\nEwWEZL.exe
  C:\Windows\System32\nEwWEZL.exe
  2⤵
  PID:6676
- C:\Windows\System32\wXoMtqJ.exe
  C:\Windows\System32\wXoMtqJ.exe
  2⤵
  PID:6708
- C:\Windows\System32\TihRscn.exe
  C:\Windows\System32\TihRscn.exe
  2⤵
  PID:6784
- C:\Windows\System32\HhbWPlK.exe
  C:\Windows\System32\HhbWPlK.exe
  2⤵
  PID:6864
- C:\Windows\System32\mOKkUKC.exe
  C:\Windows\System32\mOKkUKC.exe
  2⤵
  PID:6884
- C:\Windows\System32\lJuNXqw.exe
  C:\Windows\System32\lJuNXqw.exe
  2⤵
  PID:6908
- C:\Windows\System32\VAntNWH.exe
  C:\Windows\System32\VAntNWH.exe
  2⤵
  PID:6924
- C:\Windows\System32\XoPyZaT.exe
  C:\Windows\System32\XoPyZaT.exe
  2⤵
  PID:6956
- C:\Windows\System32\tOyjMjS.exe
  C:\Windows\System32\tOyjMjS.exe
  2⤵
  PID:6992
- C:\Windows\System32\gKWexgk.exe
  C:\Windows\System32\gKWexgk.exe
  2⤵
  PID:7040
- C:\Windows\System32\ztBBZTO.exe
  C:\Windows\System32\ztBBZTO.exe
  2⤵
  PID:7068
- C:\Windows\System32\DDCEgja.exe
  C:\Windows\System32\DDCEgja.exe
  2⤵
  PID:7084
- C:\Windows\System32\pNuUExg.exe
  C:\Windows\System32\pNuUExg.exe
  2⤵
  PID:7104
- C:\Windows\System32\WUsLOVM.exe
  C:\Windows\System32\WUsLOVM.exe
  2⤵
  PID:7132
- C:\Windows\System32\FjhqzBB.exe
  C:\Windows\System32\FjhqzBB.exe
  2⤵
  PID:5464
- C:\Windows\System32\ooPsQKn.exe
  C:\Windows\System32\ooPsQKn.exe
  2⤵
  PID:6164
- C:\Windows\System32\cRVcqYe.exe
  C:\Windows\System32\cRVcqYe.exe
  2⤵
  PID:6232
- C:\Windows\System32\nPVeVvR.exe
  C:\Windows\System32\nPVeVvR.exe
  2⤵
  PID:6288
- C:\Windows\System32\orTKEAD.exe
  C:\Windows\System32\orTKEAD.exe
  2⤵
  PID:6408
- C:\Windows\System32\WgsAjiB.exe
  C:\Windows\System32\WgsAjiB.exe
  2⤵
  PID:6440
- C:\Windows\System32\GCzbXTC.exe
  C:\Windows\System32\GCzbXTC.exe
  2⤵
  PID:6416
- C:\Windows\System32\aMgzgcn.exe
  C:\Windows\System32\aMgzgcn.exe
  2⤵
  PID:6484
- C:\Windows\System32\AwWkZVn.exe
  C:\Windows\System32\AwWkZVn.exe
  2⤵
  PID:6592
- C:\Windows\System32\icDBBJo.exe
  C:\Windows\System32\icDBBJo.exe
  2⤵
  PID:6636
- C:\Windows\System32\HkpfkAl.exe
  C:\Windows\System32\HkpfkAl.exe
  2⤵
  PID:3156
- C:\Windows\System32\RoEAOur.exe
  C:\Windows\System32\RoEAOur.exe
  2⤵
  PID:1424
- C:\Windows\System32\qAgkDmw.exe
  C:\Windows\System32\qAgkDmw.exe
  2⤵
  PID:6556
- C:\Windows\System32\DqLTWYu.exe
  C:\Windows\System32\DqLTWYu.exe
  2⤵
  PID:6640
- C:\Windows\System32\UXDdBre.exe
  C:\Windows\System32\UXDdBre.exe
  2⤵
  PID:6724
- C:\Windows\System32\QqrdVOe.exe
  C:\Windows\System32\QqrdVOe.exe
  2⤵
  PID:6824
- C:\Windows\System32\oJaMOzY.exe
  C:\Windows\System32\oJaMOzY.exe
  2⤵
  PID:6844
- C:\Windows\System32\CGRYcQn.exe
  C:\Windows\System32\CGRYcQn.exe
  2⤵
  PID:6964
- C:\Windows\System32\MPGZXIW.exe
  C:\Windows\System32\MPGZXIW.exe
  2⤵
  PID:6976
- C:\Windows\System32\YDXQMVr.exe
  C:\Windows\System32\YDXQMVr.exe
  2⤵
  PID:7060
- C:\Windows\System32\ShBxMAf.exe
  C:\Windows\System32\ShBxMAf.exe
  2⤵
  PID:7096
- C:\Windows\System32\IWDhzCs.exe
  C:\Windows\System32\IWDhzCs.exe
  2⤵
  PID:7152
- C:\Windows\System32\HRCRZFa.exe
  C:\Windows\System32\HRCRZFa.exe
  2⤵
  PID:6184
- C:\Windows\System32\DmJZEBT.exe
  C:\Windows\System32\DmJZEBT.exe
  2⤵
  PID:3116
- C:\Windows\System32\mNsPtYb.exe
  C:\Windows\System32\mNsPtYb.exe
  2⤵
  PID:6364
- C:\Windows\System32\lQbeJEB.exe
  C:\Windows\System32\lQbeJEB.exe
  2⤵
  PID:6332
- C:\Windows\System32\oPSMIev.exe
  C:\Windows\System32\oPSMIev.exe
  2⤵
  PID:6624
- C:\Windows\System32\iZBUSik.exe
  C:\Windows\System32\iZBUSik.exe
  2⤵
  PID:6488
- C:\Windows\System32\lGwRewM.exe
  C:\Windows\System32\lGwRewM.exe
  2⤵
  PID:7028
- C:\Windows\System32\pArUosB.exe
  C:\Windows\System32\pArUosB.exe
  2⤵
  PID:6604
- C:\Windows\System32\BLStYHI.exe
  C:\Windows\System32\BLStYHI.exe
  2⤵
  PID:6388
- C:\Windows\System32\SANefQn.exe
  C:\Windows\System32\SANefQn.exe
  2⤵
  PID:556
- C:\Windows\System32\RnQgGrU.exe
  C:\Windows\System32\RnQgGrU.exe
  2⤵
  PID:2340
- C:\Windows\System32\NPJMhgK.exe
  C:\Windows\System32\NPJMhgK.exe
  2⤵
  PID:6436
- C:\Windows\System32\CZVQqBy.exe
  C:\Windows\System32\CZVQqBy.exe
  2⤵
  PID:6432
- C:\Windows\System32\AKoqgkK.exe
  C:\Windows\System32\AKoqgkK.exe
  2⤵
  PID:7196
- C:\Windows\System32\FWMTKQV.exe
  C:\Windows\System32\FWMTKQV.exe
  2⤵
  PID:7212
- C:\Windows\System32\QEEugtx.exe
  C:\Windows\System32\QEEugtx.exe
  2⤵
  PID:7268
- C:\Windows\System32\vNiRcWv.exe
  C:\Windows\System32\vNiRcWv.exe
  2⤵
  PID:7284
- C:\Windows\System32\mpyhHmP.exe
  C:\Windows\System32\mpyhHmP.exe
  2⤵
  PID:7308
- C:\Windows\System32\ogRHJiE.exe
  C:\Windows\System32\ogRHJiE.exe
  2⤵
  PID:7356
- C:\Windows\System32\LWseAdM.exe
  C:\Windows\System32\LWseAdM.exe
  2⤵
  PID:7380
- C:\Windows\System32\SknyNNy.exe
  C:\Windows\System32\SknyNNy.exe
  2⤵
  PID:7420
- C:\Windows\System32\GzXPfzo.exe
  C:\Windows\System32\GzXPfzo.exe
  2⤵
  PID:7444
- C:\Windows\System32\ZTKtZPf.exe
  C:\Windows\System32\ZTKtZPf.exe
  2⤵
  PID:7468
- C:\Windows\System32\IlLDWsb.exe
  C:\Windows\System32\IlLDWsb.exe
  2⤵
  PID:7492
- C:\Windows\System32\OlInPnK.exe
  C:\Windows\System32\OlInPnK.exe
  2⤵
  PID:7536
- C:\Windows\System32\kEdNOTJ.exe
  C:\Windows\System32\kEdNOTJ.exe
  2⤵
  PID:7560
- C:\Windows\System32\fLjNtxE.exe
  C:\Windows\System32\fLjNtxE.exe
  2⤵
  PID:7584
- C:\Windows\System32\LKFUliK.exe
  C:\Windows\System32\LKFUliK.exe
  2⤵
  PID:7612
- C:\Windows\System32\yoEUAlq.exe
  C:\Windows\System32\yoEUAlq.exe
  2⤵
  PID:7640
- C:\Windows\System32\UclDDos.exe
  C:\Windows\System32\UclDDos.exe
  2⤵
  PID:7660
- C:\Windows\System32\bbjPSuU.exe
  C:\Windows\System32\bbjPSuU.exe
  2⤵
  PID:7680
- C:\Windows\System32\MpVoCdE.exe
  C:\Windows\System32\MpVoCdE.exe
  2⤵
  PID:7704
- C:\Windows\System32\nDQXBmk.exe
  C:\Windows\System32\nDQXBmk.exe
  2⤵
  PID:7740
- C:\Windows\System32\bdCMhgI.exe
  C:\Windows\System32\bdCMhgI.exe
  2⤵
  PID:7760
- C:\Windows\System32\WRzAFwd.exe
  C:\Windows\System32\WRzAFwd.exe
  2⤵
  PID:7800
- C:\Windows\System32\XFxuFuB.exe
  C:\Windows\System32\XFxuFuB.exe
  2⤵
  PID:7828
- C:\Windows\System32\DJoBkVH.exe
  C:\Windows\System32\DJoBkVH.exe
  2⤵
  PID:7856
- C:\Windows\System32\LvAMiZm.exe
  C:\Windows\System32\LvAMiZm.exe
  2⤵
  PID:7884
- C:\Windows\System32\mktcibg.exe
  C:\Windows\System32\mktcibg.exe
  2⤵
  PID:7920
- C:\Windows\System32\ykjKEqA.exe
  C:\Windows\System32\ykjKEqA.exe
  2⤵
  PID:7952
- C:\Windows\System32\HXXubxv.exe
  C:\Windows\System32\HXXubxv.exe
  2⤵
  PID:7968
- C:\Windows\System32\gYrHfBV.exe
  C:\Windows\System32\gYrHfBV.exe
  2⤵
  PID:8008
- C:\Windows\System32\lkWcKrC.exe
  C:\Windows\System32\lkWcKrC.exe
  2⤵
  PID:8036
- C:\Windows\System32\KIkhrIy.exe
  C:\Windows\System32\KIkhrIy.exe
  2⤵
  PID:8064
- C:\Windows\System32\GWzyioc.exe
  C:\Windows\System32\GWzyioc.exe
  2⤵
  PID:8092
- C:\Windows\System32\Swwmivg.exe
  C:\Windows\System32\Swwmivg.exe
  2⤵
  PID:8112
- C:\Windows\System32\eYfwFxu.exe
  C:\Windows\System32\eYfwFxu.exe
  2⤵
  PID:8132
- C:\Windows\System32\GcMsBPJ.exe
  C:\Windows\System32\GcMsBPJ.exe
  2⤵
  PID:8156
- C:\Windows\System32\Biebrsh.exe
  C:\Windows\System32\Biebrsh.exe
  2⤵
  PID:8180
- C:\Windows\System32\iEYlEYM.exe
  C:\Windows\System32\iEYlEYM.exe
  2⤵
  PID:7188
- C:\Windows\System32\OBBqyDh.exe
  C:\Windows\System32\OBBqyDh.exe
  2⤵
  PID:7236
- C:\Windows\System32\qoFeaPa.exe
  C:\Windows\System32\qoFeaPa.exe
  2⤵
  PID:7224
- C:\Windows\System32\PnVEPdX.exe
  C:\Windows\System32\PnVEPdX.exe
  2⤵
  PID:7304
- C:\Windows\System32\hXTKhEj.exe
  C:\Windows\System32\hXTKhEj.exe
  2⤵
  PID:7404
- C:\Windows\System32\gNDzwOm.exe
  C:\Windows\System32\gNDzwOm.exe
  2⤵
  PID:7428
- C:\Windows\System32\quTneTA.exe
  C:\Windows\System32\quTneTA.exe
  2⤵
  PID:7568
- C:\Windows\System32\MfIDNOW.exe
  C:\Windows\System32\MfIDNOW.exe
  2⤵
  PID:7652
- C:\Windows\System32\WEimHEr.exe
  C:\Windows\System32\WEimHEr.exe
  2⤵
  PID:7692
- C:\Windows\System32\ZnuKrBh.exe
  C:\Windows\System32\ZnuKrBh.exe
  2⤵
  PID:7756
- C:\Windows\System32\mKnzhgL.exe
  C:\Windows\System32\mKnzhgL.exe
  2⤵
  PID:7780
- C:\Windows\System32\EMZRtrK.exe
  C:\Windows\System32\EMZRtrK.exe
  2⤵
  PID:7844
- C:\Windows\System32\nFjoDJW.exe
  C:\Windows\System32\nFjoDJW.exe
  2⤵
  PID:7892
- C:\Windows\System32\lsNkiCX.exe
  C:\Windows\System32\lsNkiCX.exe
  2⤵
  PID:7936
- C:\Windows\System32\tCjEfsZ.exe
  C:\Windows\System32\tCjEfsZ.exe
  2⤵
  PID:8004
- C:\Windows\System32\SxAzxFN.exe
  C:\Windows\System32\SxAzxFN.exe
  2⤵
  PID:8088
- C:\Windows\System32\OYpPclr.exe
  C:\Windows\System32\OYpPclr.exe
  2⤵
  PID:8172
- C:\Windows\System32\hkdqFDu.exe
  C:\Windows\System32\hkdqFDu.exe
  2⤵
  PID:6180
- C:\Windows\System32\wEfHJcJ.exe
  C:\Windows\System32\wEfHJcJ.exe
  2⤵
  PID:7328
- C:\Windows\System32\pRBbbFq.exe
  C:\Windows\System32\pRBbbFq.exe
  2⤵
  PID:7372
- C:\Windows\System32\ONUlyXz.exe
  C:\Windows\System32\ONUlyXz.exe
  2⤵
  PID:7436
- C:\Windows\System32\dTYCNuv.exe
  C:\Windows\System32\dTYCNuv.exe
  2⤵
  PID:7632
- C:\Windows\System32\drkFHbZ.exe
  C:\Windows\System32\drkFHbZ.exe
  2⤵
  PID:7796
- C:\Windows\System32\DlhsQQT.exe
  C:\Windows\System32\DlhsQQT.exe
  2⤵
  PID:5032
- C:\Windows\System32\KHtWokn.exe
  C:\Windows\System32\KHtWokn.exe
  2⤵
  PID:8000
- C:\Windows\System32\hJPLCGA.exe
  C:\Windows\System32\hJPLCGA.exe
  2⤵
  PID:7452
- C:\Windows\System32\YomfOtl.exe
  C:\Windows\System32\YomfOtl.exe
  2⤵
  PID:7204
- C:\Windows\System32\ZkDUoLF.exe
  C:\Windows\System32\ZkDUoLF.exe
  2⤵
  PID:7868
- C:\Windows\System32\CEujSOY.exe
  C:\Windows\System32\CEujSOY.exe
  2⤵
  PID:7336
- C:\Windows\System32\XHddDGb.exe
  C:\Windows\System32\XHddDGb.exe
  2⤵
  PID:7604
- C:\Windows\System32\IgrXTpM.exe
  C:\Windows\System32\IgrXTpM.exe
  2⤵
  PID:8212
- C:\Windows\System32\MDZsHmM.exe
  C:\Windows\System32\MDZsHmM.exe
  2⤵
  PID:8236
- C:\Windows\System32\mrKxlwN.exe
  C:\Windows\System32\mrKxlwN.exe
  2⤵
  PID:8264
- C:\Windows\System32\LLBQokL.exe
  C:\Windows\System32\LLBQokL.exe
  2⤵
  PID:8304
- C:\Windows\System32\aSrkRrt.exe
  C:\Windows\System32\aSrkRrt.exe
  2⤵
  PID:8328
- C:\Windows\System32\tnMUbrT.exe
  C:\Windows\System32\tnMUbrT.exe
  2⤵
  PID:8348
- C:\Windows\System32\IdHYdJK.exe
  C:\Windows\System32\IdHYdJK.exe
  2⤵
  PID:8376
- C:\Windows\System32\wJUmFut.exe
  C:\Windows\System32\wJUmFut.exe
  2⤵
  PID:8396
- C:\Windows\System32\UwXLVWi.exe
  C:\Windows\System32\UwXLVWi.exe
  2⤵
  PID:8412
- C:\Windows\System32\lZLGEAF.exe
  C:\Windows\System32\lZLGEAF.exe
  2⤵
  PID:8432
- C:\Windows\System32\wGNurlg.exe
  C:\Windows\System32\wGNurlg.exe
  2⤵
  PID:8484
- C:\Windows\System32\MhHAblg.exe
  C:\Windows\System32\MhHAblg.exe
  2⤵
  PID:8500
- C:\Windows\System32\DLapEGi.exe
  C:\Windows\System32\DLapEGi.exe
  2⤵
  PID:8520
- C:\Windows\System32\zLOmEaa.exe
  C:\Windows\System32\zLOmEaa.exe
  2⤵
  PID:8536
- C:\Windows\System32\HGIjDJr.exe
  C:\Windows\System32\HGIjDJr.exe
  2⤵
  PID:8552
- C:\Windows\System32\Eqrmglu.exe
  C:\Windows\System32\Eqrmglu.exe
  2⤵
  PID:8572
- C:\Windows\System32\ZCjpaID.exe
  C:\Windows\System32\ZCjpaID.exe
  2⤵
  PID:8620
- C:\Windows\System32\UOicUWh.exe
  C:\Windows\System32\UOicUWh.exe
  2⤵
  PID:8648
- C:\Windows\System32\DtBsWLA.exe
  C:\Windows\System32\DtBsWLA.exe
  2⤵
  PID:8696
- C:\Windows\System32\DTQhzWS.exe
  C:\Windows\System32\DTQhzWS.exe
  2⤵
  PID:8724
- C:\Windows\System32\opWzcbQ.exe
  C:\Windows\System32\opWzcbQ.exe
  2⤵
  PID:8772
- C:\Windows\System32\KDVQPwo.exe
  C:\Windows\System32\KDVQPwo.exe
  2⤵
  PID:8800
- C:\Windows\System32\gqyrZmX.exe
  C:\Windows\System32\gqyrZmX.exe
  2⤵
  PID:8820
- C:\Windows\System32\vbYbLdX.exe
  C:\Windows\System32\vbYbLdX.exe
  2⤵
  PID:8856
- C:\Windows\System32\gFoqhFd.exe
  C:\Windows\System32\gFoqhFd.exe
  2⤵
  PID:8888
- C:\Windows\System32\JOgvAEZ.exe
  C:\Windows\System32\JOgvAEZ.exe
  2⤵
  PID:8912
- C:\Windows\System32\fbYTsSe.exe
  C:\Windows\System32\fbYTsSe.exe
  2⤵
  PID:8932
- C:\Windows\System32\VWHVfkF.exe
  C:\Windows\System32\VWHVfkF.exe
  2⤵
  PID:8956
- C:\Windows\System32\mjzGqHV.exe
  C:\Windows\System32\mjzGqHV.exe
  2⤵
  PID:8996
- C:\Windows\System32\unAoiFA.exe
  C:\Windows\System32\unAoiFA.exe
  2⤵
  PID:9016
- C:\Windows\System32\MKNMNht.exe
  C:\Windows\System32\MKNMNht.exe
  2⤵
  PID:9052
- C:\Windows\System32\nsdymLW.exe
  C:\Windows\System32\nsdymLW.exe
  2⤵
  PID:9072
- C:\Windows\System32\ecoeFVL.exe
  C:\Windows\System32\ecoeFVL.exe
  2⤵
  PID:9100
- C:\Windows\System32\QjVdMso.exe
  C:\Windows\System32\QjVdMso.exe
  2⤵
  PID:9124
- C:\Windows\System32\vIkrzaO.exe
  C:\Windows\System32\vIkrzaO.exe
  2⤵
  PID:9144
- C:\Windows\System32\KXVGMch.exe
  C:\Windows\System32\KXVGMch.exe
  2⤵
  PID:9172
- C:\Windows\System32\rvCIWFJ.exe
  C:\Windows\System32\rvCIWFJ.exe
  2⤵
  PID:9196
- C:\Windows\System32\laTOVQD.exe
  C:\Windows\System32\laTOVQD.exe
  2⤵
  PID:7176
- C:\Windows\System32\wovGSVN.exe
  C:\Windows\System32\wovGSVN.exe
  2⤵
  PID:8248
- C:\Windows\System32\xJhjhAg.exe
  C:\Windows\System32\xJhjhAg.exe
  2⤵
  PID:8300
- C:\Windows\System32\QgnakkR.exe
  C:\Windows\System32\QgnakkR.exe
  2⤵
  PID:8340
- C:\Windows\System32\iPeQXNU.exe
  C:\Windows\System32\iPeQXNU.exe
  2⤵
  PID:8428
- C:\Windows\System32\lKKzUKt.exe
  C:\Windows\System32\lKKzUKt.exe
  2⤵
  PID:8548
- C:\Windows\System32\JykelVZ.exe
  C:\Windows\System32\JykelVZ.exe
  2⤵
  PID:8528
- C:\Windows\System32\DxvSOWk.exe
  C:\Windows\System32\DxvSOWk.exe
  2⤵
  PID:8544
- C:\Windows\System32\msaZHmv.exe
  C:\Windows\System32\msaZHmv.exe
  2⤵
  PID:8688
- C:\Windows\System32\WAXWfPP.exe
  C:\Windows\System32\WAXWfPP.exe
  2⤵
  PID:8760
- C:\Windows\System32\hrvfcer.exe
  C:\Windows\System32\hrvfcer.exe
  2⤵
  PID:8928
- C:\Windows\System32\GUYunpY.exe
  C:\Windows\System32\GUYunpY.exe
  2⤵
  PID:8976
- C:\Windows\System32\EOnHjsr.exe
  C:\Windows\System32\EOnHjsr.exe
  2⤵
  PID:9068
- C:\Windows\System32\WSeNDvI.exe
  C:\Windows\System32\WSeNDvI.exe
  2⤵
  PID:9116
- C:\Windows\System32\EMOSWkU.exe
  C:\Windows\System32\EMOSWkU.exe
  2⤵
  PID:9188
- C:\Windows\System32\rIFvAqG.exe
  C:\Windows\System32\rIFvAqG.exe
  2⤵
  PID:8208
- C:\Windows\System32\TzfRugh.exe
  C:\Windows\System32\TzfRugh.exe
  2⤵
  PID:8420
- C:\Windows\System32\OmbfPyS.exe
  C:\Windows\System32\OmbfPyS.exe
  2⤵
  PID:8496
- C:\Windows\System32\PXyXEqS.exe
  C:\Windows\System32\PXyXEqS.exe
  2⤵
  PID:8788
- C:\Windows\System32\hnyETlX.exe
  C:\Windows\System32\hnyETlX.exe
  2⤵
  PID:8680
- C:\Windows\System32\VNAeVEU.exe
  C:\Windows\System32\VNAeVEU.exe
  2⤵
  PID:8920
- C:\Windows\System32\kyXXdSD.exe
  C:\Windows\System32\kyXXdSD.exe
  2⤵
  PID:9028
- C:\Windows\System32\IDPxIpu.exe
  C:\Windows\System32\IDPxIpu.exe
  2⤵
  PID:9180
- C:\Windows\System32\VpsayHZ.exe
  C:\Windows\System32\VpsayHZ.exe
  2⤵
  PID:8748
- C:\Windows\System32\mzzUifl.exe
  C:\Windows\System32\mzzUifl.exe
  2⤵
  PID:9212
- C:\Windows\System32\gadiKiM.exe
  C:\Windows\System32\gadiKiM.exe
  2⤵
  PID:8372
- C:\Windows\System32\WncTEkR.exe
  C:\Windows\System32\WncTEkR.exe
  2⤵
  PID:9240
- C:\Windows\System32\UsJfzXq.exe
  C:\Windows\System32\UsJfzXq.exe
  2⤵
  PID:9260
- C:\Windows\System32\APNtLGM.exe
  C:\Windows\System32\APNtLGM.exe
  2⤵
  PID:9276
- C:\Windows\System32\QQlVOIb.exe
  C:\Windows\System32\QQlVOIb.exe
  2⤵
  PID:9304
- C:\Windows\System32\ugCrmIU.exe
  C:\Windows\System32\ugCrmIU.exe
  2⤵
  PID:9328
- C:\Windows\System32\eApKNNG.exe
  C:\Windows\System32\eApKNNG.exe
  2⤵
  PID:9388
- C:\Windows\System32\WhLRNSU.exe
  C:\Windows\System32\WhLRNSU.exe
  2⤵
  PID:9408
- C:\Windows\System32\ugHDhNG.exe
  C:\Windows\System32\ugHDhNG.exe
  2⤵
  PID:9448
- C:\Windows\System32\tXNwrqb.exe
  C:\Windows\System32\tXNwrqb.exe
  2⤵
  PID:9476
- C:\Windows\System32\wVwkVXo.exe
  C:\Windows\System32\wVwkVXo.exe
  2⤵
  PID:9500
- C:\Windows\System32\bJDoyEn.exe
  C:\Windows\System32\bJDoyEn.exe
  2⤵
  PID:9532
- C:\Windows\System32\uoHQBEY.exe
  C:\Windows\System32\uoHQBEY.exe
  2⤵
  PID:9564
- C:\Windows\System32\YZmRGDv.exe
  C:\Windows\System32\YZmRGDv.exe
  2⤵
  PID:9580
- C:\Windows\System32\uQGeCuz.exe
  C:\Windows\System32\uQGeCuz.exe
  2⤵
  PID:9600
- C:\Windows\System32\NhnhbIj.exe
  C:\Windows\System32\NhnhbIj.exe
  2⤵
  PID:9616
- C:\Windows\System32\NSuOsFQ.exe
  C:\Windows\System32\NSuOsFQ.exe
  2⤵
  PID:9640
- C:\Windows\System32\wESxGRp.exe
  C:\Windows\System32\wESxGRp.exe
  2⤵
  PID:9692
- C:\Windows\System32\RIWPYue.exe
  C:\Windows\System32\RIWPYue.exe
  2⤵
  PID:9716
- C:\Windows\System32\QqBjxAB.exe
  C:\Windows\System32\QqBjxAB.exe
  2⤵
  PID:9732
- C:\Windows\System32\AIOhvPa.exe
  C:\Windows\System32\AIOhvPa.exe
  2⤵
  PID:9756
- C:\Windows\System32\EmuNLQd.exe
  C:\Windows\System32\EmuNLQd.exe
  2⤵
  PID:9772
- C:\Windows\System32\DYiwohf.exe
  C:\Windows\System32\DYiwohf.exe
  2⤵
  PID:9820
- C:\Windows\System32\TMcuGJR.exe
  C:\Windows\System32\TMcuGJR.exe
  2⤵
  PID:9872
- C:\Windows\System32\CZVZNZz.exe
  C:\Windows\System32\CZVZNZz.exe
  2⤵
  PID:9888
- C:\Windows\System32\RgGSQXD.exe
  C:\Windows\System32\RgGSQXD.exe
  2⤵
  PID:9912
- C:\Windows\System32\NoeUwrQ.exe
  C:\Windows\System32\NoeUwrQ.exe
  2⤵
  PID:9948
- C:\Windows\System32\KSuSSKJ.exe
  C:\Windows\System32\KSuSSKJ.exe
  2⤵
  PID:9972
- C:\Windows\System32\PtsUoVk.exe
  C:\Windows\System32\PtsUoVk.exe
  2⤵
  PID:9988
- C:\Windows\System32\EoJDigf.exe
  C:\Windows\System32\EoJDigf.exe
  2⤵
  PID:10008
- C:\Windows\System32\oKdjsoJ.exe
  C:\Windows\System32\oKdjsoJ.exe
  2⤵
  PID:10092
- C:\Windows\System32\sHDzFwM.exe
  C:\Windows\System32\sHDzFwM.exe
  2⤵
  PID:10108
- C:\Windows\System32\tEKFqfJ.exe
  C:\Windows\System32\tEKFqfJ.exe
  2⤵
  PID:10136
- C:\Windows\System32\YXSECWP.exe
  C:\Windows\System32\YXSECWP.exe
  2⤵
  PID:10156
- C:\Windows\System32\yBeiCto.exe
  C:\Windows\System32\yBeiCto.exe
  2⤵
  PID:10180
- C:\Windows\System32\CBpMTDd.exe
  C:\Windows\System32\CBpMTDd.exe
  2⤵
  PID:10200
- C:\Windows\System32\SulFqMk.exe
  C:\Windows\System32\SulFqMk.exe
  2⤵
  PID:8388
- C:\Windows\System32\TCuIxkE.exe
  C:\Windows\System32\TCuIxkE.exe
  2⤵
  PID:9284
- C:\Windows\System32\LhxGOYs.exe
  C:\Windows\System32\LhxGOYs.exe
  2⤵
  PID:9268
- C:\Windows\System32\kUwDCHD.exe
  C:\Windows\System32\kUwDCHD.exe
  2⤵
  PID:9380
- C:\Windows\System32\ERDgpdn.exe
  C:\Windows\System32\ERDgpdn.exe
  2⤵
  PID:9460
- C:\Windows\System32\CsJGSWq.exe
  C:\Windows\System32\CsJGSWq.exe
  2⤵
  PID:9488
- C:\Windows\System32\NfYWENk.exe
  C:\Windows\System32\NfYWENk.exe
  2⤵
  PID:9612
- C:\Windows\System32\dEcuCLG.exe
  C:\Windows\System32\dEcuCLG.exe
  2⤵
  PID:9592
- C:\Windows\System32\mzqsaeL.exe
  C:\Windows\System32\mzqsaeL.exe
  2⤵
  PID:9708
- C:\Windows\System32\FiasmZI.exe
  C:\Windows\System32\FiasmZI.exe
  2⤵
  PID:9764
- C:\Windows\System32\ufidSFB.exe
  C:\Windows\System32\ufidSFB.exe
  2⤵
  PID:9848
- C:\Windows\System32\xAOetms.exe
  C:\Windows\System32\xAOetms.exe
  2⤵
  PID:9956
- C:\Windows\System32\VkBlJtI.exe
  C:\Windows\System32\VkBlJtI.exe
  2⤵
  PID:10020
- C:\Windows\System32\UVPyhqs.exe
  C:\Windows\System32\UVPyhqs.exe
  2⤵
  PID:10084
- C:\Windows\System32\GfdZWNt.exe
  C:\Windows\System32\GfdZWNt.exe
  2⤵
  PID:10116
- C:\Windows\System32\ulWpCSU.exe
  C:\Windows\System32\ulWpCSU.exe
  2⤵
  PID:10196
- C:\Windows\System32\NyPzyuO.exe
  C:\Windows\System32\NyPzyuO.exe
  2⤵
  PID:10236
- C:\Windows\System32\yKohcNR.exe
  C:\Windows\System32\yKohcNR.exe
  2⤵
  PID:9324
- C:\Windows\System32\hbmsvAb.exe
  C:\Windows\System32\hbmsvAb.exe
  2⤵
  PID:9552
- C:\Windows\System32\XLIwptZ.exe
  C:\Windows\System32\XLIwptZ.exe
  2⤵
  PID:9632
- C:\Windows\System32\FoqsuBH.exe
  C:\Windows\System32\FoqsuBH.exe
  2⤵
  PID:9792
- C:\Windows\System32\eKPBPja.exe
  C:\Windows\System32\eKPBPja.exe
  2⤵
  PID:9984
- C:\Windows\System32\UEMSdHc.exe
  C:\Windows\System32\UEMSdHc.exe
  2⤵
  PID:10172
- C:\Windows\System32\GikWEYw.exe
  C:\Windows\System32\GikWEYw.exe
  2⤵
  PID:9400
- C:\Windows\System32\zvsnBhn.exe
  C:\Windows\System32\zvsnBhn.exe
  2⤵
  PID:9396
- C:\Windows\System32\bGnNAPv.exe
  C:\Windows\System32\bGnNAPv.exe
  2⤵
  PID:9904
- C:\Windows\System32\vJOtfGh.exe
  C:\Windows\System32\vJOtfGh.exe
  2⤵
  PID:9700
- C:\Windows\System32\wgpJXYt.exe
  C:\Windows\System32\wgpJXYt.exe
  2⤵
  PID:10248
- C:\Windows\System32\RFkMLSn.exe
  C:\Windows\System32\RFkMLSn.exe
  2⤵
  PID:10280
- C:\Windows\System32\atutYEA.exe
  C:\Windows\System32\atutYEA.exe
  2⤵
  PID:10300
- C:\Windows\System32\bidchNG.exe
  C:\Windows\System32\bidchNG.exe
  2⤵
  PID:10344
- C:\Windows\System32\YcaMVZi.exe
  C:\Windows\System32\YcaMVZi.exe
  2⤵
  PID:10360
- C:\Windows\System32\kUSNbJm.exe
  C:\Windows\System32\kUSNbJm.exe
  2⤵
  PID:10380
- C:\Windows\System32\wqjMBPt.exe
  C:\Windows\System32\wqjMBPt.exe
  2⤵
  PID:10412
- C:\Windows\System32\YquIdZv.exe
  C:\Windows\System32\YquIdZv.exe
  2⤵
  PID:10452
- C:\Windows\System32\AbKHmKW.exe
  C:\Windows\System32\AbKHmKW.exe
  2⤵
  PID:10492
- C:\Windows\System32\voQlutE.exe
  C:\Windows\System32\voQlutE.exe
  2⤵
  PID:10520
- C:\Windows\System32\MQtlyUW.exe
  C:\Windows\System32\MQtlyUW.exe
  2⤵
  PID:10556
- C:\Windows\System32\zalEkDR.exe
  C:\Windows\System32\zalEkDR.exe
  2⤵
  PID:10580
- C:\Windows\System32\uoTvfgs.exe
  C:\Windows\System32\uoTvfgs.exe
  2⤵
  PID:10608
- C:\Windows\System32\CgrZegR.exe
  C:\Windows\System32\CgrZegR.exe
  2⤵
  PID:10628
- C:\Windows\System32\cabIDRV.exe
  C:\Windows\System32\cabIDRV.exe
  2⤵
  PID:10660
- C:\Windows\System32\NYwXwvR.exe
  C:\Windows\System32\NYwXwvR.exe
  2⤵
  PID:10676
- C:\Windows\System32\tSWjTLV.exe
  C:\Windows\System32\tSWjTLV.exe
  2⤵
  PID:10716
- C:\Windows\System32\cvOfTIX.exe
  C:\Windows\System32\cvOfTIX.exe
  2⤵
  PID:10736
- C:\Windows\System32\hGAUvqc.exe
  C:\Windows\System32\hGAUvqc.exe
  2⤵
  PID:10764
- C:\Windows\System32\pbOEjwT.exe
  C:\Windows\System32\pbOEjwT.exe
  2⤵
  PID:10788
- C:\Windows\System32\ETFFHlO.exe
  C:\Windows\System32\ETFFHlO.exe
  2⤵
  PID:10820
- C:\Windows\System32\EdKNMgA.exe
  C:\Windows\System32\EdKNMgA.exe
  2⤵
  PID:10836
- C:\Windows\System32\QmoLpQf.exe
  C:\Windows\System32\QmoLpQf.exe
  2⤵
  PID:10852
- C:\Windows\System32\jjwteQv.exe
  C:\Windows\System32\jjwteQv.exe
  2⤵
  PID:10884
- C:\Windows\System32\uwaxkWo.exe
  C:\Windows\System32\uwaxkWo.exe
  2⤵
  PID:10900
- C:\Windows\System32\byVZiPN.exe
  C:\Windows\System32\byVZiPN.exe
  2⤵
  PID:10948
- C:\Windows\System32\tlSyMGj.exe
  C:\Windows\System32\tlSyMGj.exe
  2⤵
  PID:10984
- C:\Windows\System32\HHEoNUK.exe
  C:\Windows\System32\HHEoNUK.exe
  2⤵
  PID:11004
- C:\Windows\System32\rPYDVnU.exe
  C:\Windows\System32\rPYDVnU.exe
  2⤵
  PID:11032
- C:\Windows\System32\leeQYYD.exe
  C:\Windows\System32\leeQYYD.exe
  2⤵
  PID:11084
- C:\Windows\System32\bMUIios.exe
  C:\Windows\System32\bMUIios.exe
  2⤵
  PID:11104
- C:\Windows\System32\fPOkaNy.exe
  C:\Windows\System32\fPOkaNy.exe
  2⤵
  PID:11144
- C:\Windows\System32\DqFlkLd.exe
  C:\Windows\System32\DqFlkLd.exe
  2⤵
  PID:11164
- C:\Windows\System32\mYUvIoL.exe
  C:\Windows\System32\mYUvIoL.exe
  2⤵
  PID:11184
- C:\Windows\System32\IZNSeih.exe
  C:\Windows\System32\IZNSeih.exe
  2⤵
  PID:11204
- C:\Windows\System32\NEXMIMk.exe
  C:\Windows\System32\NEXMIMk.exe
  2⤵
  PID:11232
- C:\Windows\System32\YQSqYqk.exe
  C:\Windows\System32\YQSqYqk.exe
  2⤵
  PID:10260
- C:\Windows\System32\bsOrZTv.exe
  C:\Windows\System32\bsOrZTv.exe
  2⤵
  PID:10292
- C:\Windows\System32\TqfkKbW.exe
  C:\Windows\System32\TqfkKbW.exe
  2⤵
  PID:10352
- C:\Windows\System32\nKHEWVE.exe
  C:\Windows\System32\nKHEWVE.exe
  2⤵
  PID:10532
- C:\Windows\System32\qxsNsMr.exe
  C:\Windows\System32\qxsNsMr.exe
  2⤵
  PID:10576
- C:\Windows\System32\GEAtlcn.exe
  C:\Windows\System32\GEAtlcn.exe
  2⤵
  PID:10700
- C:\Windows\System32\uzgViaZ.exe
  C:\Windows\System32\uzgViaZ.exe
  2⤵
  PID:9836
- C:\Windows\System32\STyxJFu.exe
  C:\Windows\System32\STyxJFu.exe
  2⤵
  PID:10844
- C:\Windows\System32\zzKacMx.exe
  C:\Windows\System32\zzKacMx.exe
  2⤵
  PID:10916
- C:\Windows\System32\BLkaSvS.exe
  C:\Windows\System32\BLkaSvS.exe
  2⤵
  PID:10932
- C:\Windows\System32\BrpVbBV.exe
  C:\Windows\System32\BrpVbBV.exe
  2⤵
  PID:11012
- C:\Windows\System32\XpHgeVP.exe
  C:\Windows\System32\XpHgeVP.exe
  2⤵
  PID:11072
- C:\Windows\System32\dPBKuMS.exe
  C:\Windows\System32\dPBKuMS.exe
  2⤵
  PID:11044
- C:\Windows\System32\PxnLZKX.exe
  C:\Windows\System32\PxnLZKX.exe
  2⤵
  PID:11140
- C:\Windows\System32\XqKNCkG.exe
  C:\Windows\System32\XqKNCkG.exe
  2⤵
  PID:10328
- C:\Windows\System32\WqnfKUu.exe
  C:\Windows\System32\WqnfKUu.exe
  2⤵
  PID:10504
- C:\Windows\System32\IwGWHvr.exe
  C:\Windows\System32\IwGWHvr.exe
  2⤵
  PID:10640
- C:\Windows\System32\tuWxRtY.exe
  C:\Windows\System32\tuWxRtY.exe
  2⤵
  PID:10760
- C:\Windows\System32\EBHmscQ.exe
  C:\Windows\System32\EBHmscQ.exe
  2⤵
  PID:10892
- C:\Windows\System32\wdBBBMV.exe
  C:\Windows\System32\wdBBBMV.exe
  2⤵
  PID:10968
- C:\Windows\System32\djfSLny.exe
  C:\Windows\System32\djfSLny.exe
  2⤵
  PID:11180
- C:\Windows\System32\gzSzqTS.exe
  C:\Windows\System32\gzSzqTS.exe
  2⤵
  PID:11256
- C:\Windows\System32\uszmVJi.exe
  C:\Windows\System32\uszmVJi.exe
  2⤵
  PID:10464
- C:\Windows\System32\vemtFMz.exe
  C:\Windows\System32\vemtFMz.exe
  2⤵
  PID:11016
- C:\Windows\System32\vwFABve.exe
  C:\Windows\System32\vwFABve.exe
  2⤵
  PID:11176
- C:\Windows\System32\IkYkdFc.exe
  C:\Windows\System32\IkYkdFc.exe
  2⤵
  PID:11276
- C:\Windows\System32\CDgSBIT.exe
  C:\Windows\System32\CDgSBIT.exe
  2⤵
  PID:11308
- C:\Windows\System32\noSkKCa.exe
  C:\Windows\System32\noSkKCa.exe
  2⤵
  PID:11332
- C:\Windows\System32\ogHJwhy.exe
  C:\Windows\System32\ogHJwhy.exe
  2⤵
  PID:11364
- C:\Windows\System32\mqQXCQB.exe
  C:\Windows\System32\mqQXCQB.exe
  2⤵
  PID:11388
- C:\Windows\System32\ITjjwlk.exe
  C:\Windows\System32\ITjjwlk.exe
  2⤵
  PID:11432
- C:\Windows\System32\aidnguF.exe
  C:\Windows\System32\aidnguF.exe
  2⤵
  PID:11484
- C:\Windows\System32\MJbBtTD.exe
  C:\Windows\System32\MJbBtTD.exe
  2⤵
  PID:11500
- C:\Windows\System32\uryCQHt.exe
  C:\Windows\System32\uryCQHt.exe
  2⤵
  PID:11532
- C:\Windows\System32\mZccpWY.exe
  C:\Windows\System32\mZccpWY.exe
  2⤵
  PID:11548
- C:\Windows\System32\crJyUyq.exe
  C:\Windows\System32\crJyUyq.exe
  2⤵
  PID:11576
- C:\Windows\System32\cnqFvgB.exe
  C:\Windows\System32\cnqFvgB.exe
  2⤵
  PID:11632
- C:\Windows\System32\vphkhgy.exe
  C:\Windows\System32\vphkhgy.exe
  2⤵
  PID:11652
- C:\Windows\System32\gsHGISh.exe
  C:\Windows\System32\gsHGISh.exe
  2⤵
  PID:11692
- C:\Windows\System32\WhbWQPU.exe
  C:\Windows\System32\WhbWQPU.exe
  2⤵
  PID:11716
- C:\Windows\System32\TXoINiH.exe
  C:\Windows\System32\TXoINiH.exe
  2⤵
  PID:11736
- C:\Windows\System32\HnrHPli.exe
  C:\Windows\System32\HnrHPli.exe
  2⤵
  PID:11776
- C:\Windows\System32\oHIKyFC.exe
  C:\Windows\System32\oHIKyFC.exe
  2⤵
  PID:11800
- C:\Windows\System32\vvoAyqH.exe
  C:\Windows\System32\vvoAyqH.exe
  2⤵
  PID:11820
- C:\Windows\System32\qmcGhXv.exe
  C:\Windows\System32\qmcGhXv.exe
  2⤵
  PID:11848
- C:\Windows\System32\GoKaDrm.exe
  C:\Windows\System32\GoKaDrm.exe
  2⤵
  PID:11876
- C:\Windows\System32\zzRUEAY.exe
  C:\Windows\System32\zzRUEAY.exe
  2⤵
  PID:11896
- C:\Windows\System32\RkODoEi.exe
  C:\Windows\System32\RkODoEi.exe
  2⤵
  PID:11940
- C:\Windows\System32\vZJUzyr.exe
  C:\Windows\System32\vZJUzyr.exe
  2⤵
  PID:11968
- C:\Windows\System32\cSshEKn.exe
  C:\Windows\System32\cSshEKn.exe
  2⤵
  PID:11988
- C:\Windows\System32\zjLygDX.exe
  C:\Windows\System32\zjLygDX.exe
  2⤵
  PID:12028
- C:\Windows\System32\xgtyZMv.exe
  C:\Windows\System32\xgtyZMv.exe
  2⤵
  PID:12052
- C:\Windows\System32\qozwGVj.exe
  C:\Windows\System32\qozwGVj.exe
  2⤵
  PID:12072
- C:\Windows\System32\jbinKBK.exe
  C:\Windows\System32\jbinKBK.exe
  2⤵
  PID:12092
- C:\Windows\System32\WFNVwHk.exe
  C:\Windows\System32\WFNVwHk.exe
  2⤵
  PID:12128
- C:\Windows\System32\zYbTgBL.exe
  C:\Windows\System32\zYbTgBL.exe
  2⤵
  PID:12156
- C:\Windows\System32\MijWLDG.exe
  C:\Windows\System32\MijWLDG.exe
  2⤵
  PID:12196
- C:\Windows\System32\lqbZYxb.exe
  C:\Windows\System32\lqbZYxb.exe
  2⤵
  PID:12216
- C:\Windows\System32\NlvLkiX.exe
  C:\Windows\System32\NlvLkiX.exe
  2⤵
  PID:12232
- C:\Windows\System32\oQJJMcr.exe
  C:\Windows\System32\oQJJMcr.exe
  2⤵
  PID:12280
- C:\Windows\System32\MMGgPLy.exe
  C:\Windows\System32\MMGgPLy.exe
  2⤵
  PID:11284
- C:\Windows\System32\vtWMsBA.exe
  C:\Windows\System32\vtWMsBA.exe
  2⤵
  PID:11268
- C:\Windows\System32\FjHMaUz.exe
  C:\Windows\System32\FjHMaUz.exe
  2⤵
  PID:11404
- C:\Windows\System32\vUaMhKm.exe
  C:\Windows\System32\vUaMhKm.exe
  2⤵
  PID:11468
- C:\Windows\System32\JUoSebD.exe
  C:\Windows\System32\JUoSebD.exe
  2⤵
  PID:11460
- C:\Windows\System32\VBlJLMb.exe
  C:\Windows\System32\VBlJLMb.exe
  2⤵
  PID:11568
- C:\Windows\System32\SYiPWdW.exe
  C:\Windows\System32\SYiPWdW.exe
  2⤵
  PID:10956
- C:\Windows\System32\yvMSRig.exe
  C:\Windows\System32\yvMSRig.exe
  2⤵
  PID:11616
- C:\Windows\System32\YNKbJGg.exe
  C:\Windows\System32\YNKbJGg.exe
  2⤵
  PID:11668
- C:\Windows\System32\dQmLPfp.exe
  C:\Windows\System32\dQmLPfp.exe
  2⤵
  PID:11936
- C:\Windows\System32\jAGhCHZ.exe
  C:\Windows\System32\jAGhCHZ.exe
  2⤵
  PID:12012
- C:\Windows\System32\rYYSsge.exe
  C:\Windows\System32\rYYSsge.exe
  2⤵
  PID:12068
- C:\Windows\System32\IXSduUE.exe
  C:\Windows\System32\IXSduUE.exe
  2⤵
  PID:12252
- C:\Windows\System32\lCgIvFm.exe
  C:\Windows\System32\lCgIvFm.exe
  2⤵
  PID:11272
- C:\Windows\System32\NmMTbzQ.exe
  C:\Windows\System32\NmMTbzQ.exe
  2⤵
  PID:11340
- C:\Windows\System32\thLrdql.exe
  C:\Windows\System32\thLrdql.exe
  2⤵
  PID:11408
- C:\Windows\System32\DQanKjc.exe
  C:\Windows\System32\DQanKjc.exe
  2⤵
  PID:11596
- C:\Windows\System32\ocpLuCg.exe
  C:\Windows\System32\ocpLuCg.exe
  2⤵
  PID:11772
- C:\Windows\System32\JXcYXPY.exe
  C:\Windows\System32\JXcYXPY.exe
  2⤵
  PID:11648
- C:\Windows\System32\pHWPcaV.exe
  C:\Windows\System32\pHWPcaV.exe
  2⤵
  PID:11756
- C:\Windows\System32\FxjoSHR.exe
  C:\Windows\System32\FxjoSHR.exe
  2⤵
  PID:11864
- C:\Windows\System32\vkQALKH.exe
  C:\Windows\System32\vkQALKH.exe
  2⤵
  PID:12212
- C:\Windows\System32\GseJWHW.exe
  C:\Windows\System32\GseJWHW.exe
  2⤵
  PID:11304
- C:\Windows\System32\dabOYlA.exe
  C:\Windows\System32\dabOYlA.exe
  2⤵
  PID:11540
- C:\Windows\System32\IGtJlur.exe
  C:\Windows\System32\IGtJlur.exe
  2⤵
  PID:11288
- C:\Windows\System32\KDzotYR.exe
  C:\Windows\System32\KDzotYR.exe
  2⤵
  PID:11908
- C:\Windows\System32\ByZgXAj.exe
  C:\Windows\System32\ByZgXAj.exe
  2⤵
  PID:12256
- C:\Windows\System32\qqyOKYW.exe
  C:\Windows\System32\qqyOKYW.exe
  2⤵
  PID:11644
- C:\Windows\System32\bbHYvRn.exe
  C:\Windows\System32\bbHYvRn.exe
  2⤵
  PID:11444
- C:\Windows\System32\PouUsyG.exe
  C:\Windows\System32\PouUsyG.exe
  2⤵
  PID:12300
- C:\Windows\System32\EUGycMu.exe
  C:\Windows\System32\EUGycMu.exe
  2⤵
  PID:12320
- C:\Windows\System32\pLJzajM.exe
  C:\Windows\System32\pLJzajM.exe
  2⤵
  PID:12348
- C:\Windows\System32\WEXSpow.exe
  C:\Windows\System32\WEXSpow.exe
  2⤵
  PID:12372
- C:\Windows\System32\LLxJrOJ.exe
  C:\Windows\System32\LLxJrOJ.exe
  2⤵
  PID:12408
- C:\Windows\System32\wcKewXQ.exe
  C:\Windows\System32\wcKewXQ.exe
  2⤵
  PID:12440
- C:\Windows\System32\ceOMiCD.exe
  C:\Windows\System32\ceOMiCD.exe
  2⤵
  PID:12460
- C:\Windows\System32\LwVIefb.exe
  C:\Windows\System32\LwVIefb.exe
  2⤵
  PID:12488
- C:\Windows\System32\tSIqEyZ.exe
  C:\Windows\System32\tSIqEyZ.exe
  2⤵
  PID:12528
- C:\Windows\System32\EJnhAXJ.exe
  C:\Windows\System32\EJnhAXJ.exe
  2⤵
  PID:12552
- C:\Windows\System32\ZDTITNc.exe
  C:\Windows\System32\ZDTITNc.exe
  2⤵
  PID:12576
- C:\Windows\System32\mHqjoeF.exe
  C:\Windows\System32\mHqjoeF.exe
  2⤵
  PID:12612
- C:\Windows\System32\AInSBNB.exe
  C:\Windows\System32\AInSBNB.exe
  2⤵
  PID:12640
- C:\Windows\System32\eTEIWli.exe
  C:\Windows\System32\eTEIWli.exe
  2⤵
  PID:12668
- C:\Windows\System32\hYpmatx.exe
  C:\Windows\System32\hYpmatx.exe
  2⤵
  PID:12696
- C:\Windows\System32\BfSUwgY.exe
  C:\Windows\System32\BfSUwgY.exe
  2⤵
  PID:12732
- C:\Windows\System32\maJhTcQ.exe
  C:\Windows\System32\maJhTcQ.exe
  2⤵
  PID:12748
- C:\Windows\System32\HSWRSlt.exe
  C:\Windows\System32\HSWRSlt.exe
  2⤵
  PID:12788
- C:\Windows\System32\ylceHtN.exe
  C:\Windows\System32\ylceHtN.exe
  2⤵
  PID:12812
- C:\Windows\System32\ZJAtMYO.exe
  C:\Windows\System32\ZJAtMYO.exe
  2⤵
  PID:12832
- C:\Windows\System32\bTfvxUn.exe
  C:\Windows\System32\bTfvxUn.exe
  2⤵
  PID:12860
- C:\Windows\System32\UyAnosN.exe
  C:\Windows\System32\UyAnosN.exe
  2⤵
  PID:12892
- C:\Windows\System32\ghfgKIp.exe
  C:\Windows\System32\ghfgKIp.exe
  2⤵
  PID:12916
- C:\Windows\System32\KgimZmO.exe
  C:\Windows\System32\KgimZmO.exe
  2⤵
  PID:12936
- C:\Windows\System32\TTNKNJu.exe
  C:\Windows\System32\TTNKNJu.exe
  2⤵
  PID:12960
- C:\Windows\System32\flfgAKG.exe
  C:\Windows\System32\flfgAKG.exe
  2⤵
  PID:13008
- C:\Windows\System32\wFEXHWs.exe
  C:\Windows\System32\wFEXHWs.exe
  2⤵
  PID:13040
- C:\Windows\System32\QmiXwYy.exe
  C:\Windows\System32\QmiXwYy.exe
  2⤵
  PID:13056
- C:\Windows\System32\kuPXPBS.exe
  C:\Windows\System32\kuPXPBS.exe
  2⤵
  PID:13108
- C:\Windows\System32\isHxIxF.exe
  C:\Windows\System32\isHxIxF.exe
  2⤵
  PID:13128
- C:\Windows\System32\EGPXYMz.exe
  C:\Windows\System32\EGPXYMz.exe
  2⤵
  PID:13156
- C:\Windows\System32\UxfLOjy.exe
  C:\Windows\System32\UxfLOjy.exe
  2⤵
  PID:13176
- C:\Windows\System32\WRCunPH.exe
  C:\Windows\System32\WRCunPH.exe
  2⤵
  PID:13200
- C:\Windows\System32\bcTscIA.exe
  C:\Windows\System32\bcTscIA.exe
  2⤵
  PID:13216
- C:\Windows\System32\HgjPFMt.exe
  C:\Windows\System32\HgjPFMt.exe
  2⤵
  PID:13236
- C:\Windows\System32\ONtfNVg.exe
  C:\Windows\System32\ONtfNVg.exe
  2⤵
  PID:13252
- C:\Windows\System32\YQlSRgr.exe
  C:\Windows\System32\YQlSRgr.exe
  2⤵
  PID:13276
- C:\Windows\System32\PUETpbN.exe
  C:\Windows\System32\PUETpbN.exe
  2⤵
  PID:12044
- C:\Windows\System32\pMNnHEH.exe
  C:\Windows\System32\pMNnHEH.exe
  2⤵
  PID:2728
- C:\Windows\System32\yyqRaYA.exe
  C:\Windows\System32\yyqRaYA.exe
  2⤵
  PID:2896
- C:\Windows\System32\RpjQdCA.exe
  C:\Windows\System32\RpjQdCA.exe
  2⤵
  PID:12436
- C:\Windows\System32\mjELTah.exe
  C:\Windows\System32\mjELTah.exe
  2⤵
  PID:12452
- C:\Windows\System32\KujAEde.exe
  C:\Windows\System32\KujAEde.exe
  2⤵
  PID:3732
- C:\Windows\System32\hoftZsi.exe
  C:\Windows\System32\hoftZsi.exe
  2⤵
  PID:12632
- C:\Windows\System32\DpAAucG.exe
  C:\Windows\System32\DpAAucG.exe
  2⤵
  PID:12688
- C:\Windows\System32\hRSkCFK.exe
  C:\Windows\System32\hRSkCFK.exe
  2⤵
  PID:12780
- C:\Windows\System32\EmjpcqF.exe
  C:\Windows\System32\EmjpcqF.exe
  2⤵
  PID:12824
- C:\Windows\System32\REiifbV.exe
  C:\Windows\System32\REiifbV.exe
  2⤵
  PID:12888
- C:\Windows\System32\PgvhrUW.exe
  C:\Windows\System32\PgvhrUW.exe
  2⤵
  PID:12912
- C:\Windows\System32\ItEIIkP.exe
  C:\Windows\System32\ItEIIkP.exe
  2⤵
  PID:12264
- C:\Windows\System32\pdWPssU.exe
  C:\Windows\System32\pdWPssU.exe
  2⤵
  PID:13084
- C:\Windows\System32\zpiniKH.exe
  C:\Windows\System32\zpiniKH.exe
  2⤵
  PID:13148
- C:\Windows\System32\yvIilVZ.exe
  C:\Windows\System32\yvIilVZ.exe
  2⤵
  PID:13208
- C:\Windows\System32\ASQobvz.exe
  C:\Windows\System32\ASQobvz.exe
  2⤵
  PID:13260
- C:\Windows\System32\RaJRvTq.exe
  C:\Windows\System32\RaJRvTq.exe
  2⤵
  PID:4884
- C:\Windows\System32\OLsFXGi.exe
  C:\Windows\System32\OLsFXGi.exe
  2⤵
  PID:12476
- C:\Windows\System32\yqEehgT.exe
  C:\Windows\System32\yqEehgT.exe
  2⤵
  PID:12604
- C:\Windows\System32\ftOmGlm.exe
  C:\Windows\System32\ftOmGlm.exe
  2⤵
  PID:12724
- C:\Windows\System32\HKgXCPr.exe
  C:\Windows\System32\HKgXCPr.exe
  2⤵
  PID:12900
- C:\Windows\System32\xEWcGGl.exe
  C:\Windows\System32\xEWcGGl.exe
  2⤵
  PID:12996
- C:\Windows\System32\gIRYcwR.exe
  C:\Windows\System32\gIRYcwR.exe
  2⤵
  PID:13164
- C:\Windows\System32\BOqhkdJ.exe
  C:\Windows\System32\BOqhkdJ.exe
  2⤵
  PID:13284
- C:\Windows\System32\JyOCxmm.exe
  C:\Windows\System32\JyOCxmm.exe
  2⤵
  PID:12508
- C:\Windows\System32\TLBaPGf.exe
  C:\Windows\System32\TLBaPGf.exe
  2⤵
  PID:12848
- C:\Windows\System32\nbHdvpF.exe
  C:\Windows\System32\nbHdvpF.exe
  2⤵
  PID:13152
- C:\Windows\System32\WjMAoLj.exe
  C:\Windows\System32\WjMAoLj.exe
  2⤵
  PID:1340
- C:\Windows\System32\hEOLFuy.exe
  C:\Windows\System32\hEOLFuy.exe
  2⤵
  PID:13072
- C:\Windows\System32\xmtmhYq.exe
  C:\Windows\System32\xmtmhYq.exe
  2⤵
  PID:13328
- C:\Windows\System32\vyaZxTk.exe
  C:\Windows\System32\vyaZxTk.exe
  2⤵
  PID:13356
- C:\Windows\System32\KxYsfeZ.exe
  C:\Windows\System32\KxYsfeZ.exe
  2⤵
  PID:13392
- C:\Windows\System32\WzHUARv.exe
  C:\Windows\System32\WzHUARv.exe
  2⤵
  PID:13412
- C:\Windows\System32\KYzhVMN.exe
  C:\Windows\System32\KYzhVMN.exe
  2⤵
  PID:13436
- C:\Windows\System32\xbdjfKS.exe
  C:\Windows\System32\xbdjfKS.exe
  2⤵
  PID:13472
- C:\Windows\System32\xmidEsZ.exe
  C:\Windows\System32\xmidEsZ.exe
  2⤵
  PID:13488
- C:\Windows\System32\MKjKScM.exe
  C:\Windows\System32\MKjKScM.exe
  2⤵
  PID:13536
- C:\Windows\System32\JZsxwpt.exe
  C:\Windows\System32\JZsxwpt.exe
  2⤵
  PID:13580
- C:\Windows\System32\gYGaAGM.exe
  C:\Windows\System32\gYGaAGM.exe
  2⤵
  PID:13604
- C:\Windows\System32\paoiTGO.exe
  C:\Windows\System32\paoiTGO.exe
  2⤵
  PID:13632
- C:\Windows\System32\bJEARvy.exe
  C:\Windows\System32\bJEARvy.exe
  2⤵
  PID:13648

C:\Windows\system32\WerFaultSecure.exe
C:\Windows\system32\WerFaultSecure.exe -u -p 992 -s 2112
1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: EnumeratesProcesses
PID:14020

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:14064

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AJzKJMZ.exe

Filesize
1.6MB

MD5
d9a689e2a9381d96e45f4beb7e8e3441

SHA1
4550d82fd542f3455ffdf9c05c171389377586ad

SHA256
80a7ec2348937ff330b2c5d44fe76de2c831d9ebd9d505003f6c5de655f668e8

SHA512
4b51d8c46a7b5bed532ef62e15668dd662a8f3ccf882d86dca17deacfe57ee64228186f51cde0d9ab1a99137d1b32e21920f22744400f6adc1adfdd2cdd21884

Download Submit
C:\Windows\System32\CqcevDs.exe

Filesize
1.6MB

MD5
5bbf99ec6a06c2acd4bc1cae87317c94

SHA1
e15d378e088e52810b476e6d8a7e3dfca7b93592

SHA256
5bed44f8129f16edabcdab43091899a569ab7d5592b52e4f84dbd010b013d96a

SHA512
e3c7369e57d4e6d169afca107f954c69b75c3622d2178cba7e1be2b10d800b5718b420744a5d8b2d01ff88256ae73773858fffa2b9771383a80e996c34cce151

Download Submit
C:\Windows\System32\HvocLTx.exe

Filesize
1.6MB

MD5
032fc0569d6726dc2cc85bf1ddbfa945

SHA1
9e1fc2474957ebff313e1d959acd97559e4d09b7

SHA256
97dced31dc7cbe71927c9414e9ddf74ae00e8d0df3a962acdbc41abf988dad95

SHA512
6bb50eb4576ed303ff4d4a82467236d5f3a5c1414a69d90dea33cbf21d30693fc38ab0baf5fff1af070426ce4b32b2432a3caa2e0e45612a797126c5b9f06a5a

Download Submit
C:\Windows\System32\InSUpLc.exe

Filesize
1.6MB

MD5
e8f5fa98e80fef421dda22e5393b0bd3

SHA1
7bb0f0083855a1886d2c78f847032c9d7ac97b6f

SHA256
8edfb01d53d716d216aaa3dc844580ccb7e7de3d5114b317cb575f97c8caf337

SHA512
676a4ba3590d451b5d0ac836390f1c3f824786b50a4d52d5b41f826ffea635c954817b62c7c12476a354ab48762adab652d892a6af8c5b45d977591f6ab9f933

Download Submit
C:\Windows\System32\JtFiUYq.exe

Filesize
1.6MB

MD5
a89878bf720f66576d564801d0a09d00

SHA1
cd5b5509cae24b08f8dad034da6a720607afadaa

SHA256
e504d6966efd44353d3b9a3cf4997b913a7d337f8fa91ac9661fdcd52620f7d6

SHA512
c2afdd79cf504680c94ea0230b3d24d9dcabf00b9d7d80cce336ef556d5b99ccb4b9c953e972b010a07f132e17f5b270938511e84f9c85cf6d7ad2720128fa4e

Download Submit
C:\Windows\System32\MvZxQdZ.exe

Filesize
1.6MB

MD5
c9253e6501d72df60ade08a7424a2c23

SHA1
323f50187e9b487b1b6efa4265f06a25d42f88cc

SHA256
7382533927b2e300c23b21f8369a95915a0e899c723cce4ed33cfbbc1d50e270

SHA512
1f9683439638708166e70e1030ff87b82e9c17a32525ee2042037d39fca00b26bf99d51645daf913efbe76f9119ff0b676c74c5d3ab599d64966650b75b2a5ed

Download Submit
C:\Windows\System32\NyGyqXS.exe

Filesize
1.6MB

MD5
657ffe15a448845662704352aed47107

SHA1
2d0cb8407789e79077a480cc539af1bdad58139f

SHA256
9cca9941f474120b5959dfdd698ec632f2cbc34a1eb8e4da3e311da8377b65ed

SHA512
ec43efb98d79be1b8ee80bfe71e2c5cd89c9e44bbaebf588725164dcdbe6c52ae1c59011bad4db9ec40853b54494a95fb407a9f35a546a0f7ded0d288648ad12

Download Submit
C:\Windows\System32\PInwOmL.exe

Filesize
1.6MB

MD5
2a2b634ab16194ecb1644819d5f1e2b6

SHA1
b8d73d3248a0cc3df2e2e39295c4f557e67368fc

SHA256
f28063447cd5cc4547e02c546809d248cc95ad7dfc141124b8ff0b31e1035ab6

SHA512
b2aa10a456552e4c8bcf73f5c9b25b9b78bc8adfc2e594ed1481eeed963fb4efe5e6555fbc10b4582039674a39d0c85c24ab52cb95e6d8e7b092cb899dc5ec1c

Download Submit
C:\Windows\System32\QAFPIDU.exe

Filesize
1.6MB

MD5
710fbbb21c712e7c522fe472bfea25e2

SHA1
c8aedb65282d8956a15ee1fd84d19103a145d4da

SHA256
5e6b42cdbddacf1a8d9caa44776f6d674955c94120c07713fb32e993b5f1f39e

SHA512
27b2617d15a53be9b176230caa92c429b30eb5102e053cbc466aef53bfad2d4b9c635a77a0a547735a70a00a175d2006f289a33f19d7bac455d76c67d5ad155f

Download Submit
C:\Windows\System32\SOkSsue.exe

Filesize
1.6MB

MD5
07d2f3804d33ef10dc2f3b51b074f604

SHA1
f767736a937ffd4ae041632f60e11b3a97e2f0dd

SHA256
710266fc8df76bbfde701787016be74af3b63970484a627f80be26bb0ed14962

SHA512
5bfa5f489f9fc7f329ceacf13a2cc211d5461183fc34f9ed8cd837f55b777ef1014a8e98bd6c7115b15cabc5e1c2a53242aa4008ad77121634a0be01104493c3

Download Submit
C:\Windows\System32\TByjBMN.exe

Filesize
1.6MB

MD5
d1291767dd7d4c1d0df8727b42913196

SHA1
c0935f16ca0941529b273b1ca5fd35ff2af8cdd5

SHA256
ea6494500c4c6d89e0df816d675d81c610ca0eb8651f540f97ddcceab279bf6c

SHA512
3ae355f4828f39b5e148fa2c1bef729f27073fad64677e7aca830d5957c77ad5c0f3418728784b1b02c62b4e234d043b2afbc7aeb94ca0029a1697fa53eb3e37

Download Submit
C:\Windows\System32\THKfzQR.exe

Filesize
1.6MB

MD5
41df703562a8c8218f8a9685e3f7c9ad

SHA1
633c297ae867f9e77c2d90a395839b25ca18eaab

SHA256
3ae29d3e7ac830016ed2f4aabced7d61c0247c0a8d251b45a540f801188930d5

SHA512
15c2724c3b23e4de9a6ae2bdc345a8b2f8fcadfa394b897d015fd9934977d60a1d09bb70441494bbfdfe8e7c93030e33234359115584a3b0083bef9c11e8f720

Download Submit
C:\Windows\System32\TmCFLti.exe

Filesize
1.6MB

MD5
7d5a39601feada7e12599bec3c8fbf3a

SHA1
f1cbaa90bd486417a525513f658b046bd02e03f9

SHA256
7d7462ed19b3b0f2bb798cecad590db4d92716beca403db496f247b985e8bb12

SHA512
a2aa0cef7130ecc3a09502fb5c0bc528648224f78050a5a30737a36ac32b24e3b3735b3b44dc85718dc0a84098039933e1cb9ccab87fdf1c79bc599298e21dce

Download Submit
C:\Windows\System32\UNRyJby.exe

Filesize
1.6MB

MD5
8bde7bf0477c5cdab4c3d47be09fddcc

SHA1
bfba5208d591ebd25230a58e78be23af882e0501

SHA256
896ce1a4420c027d87061368540a6daa0f478b76986a0ff6394809ce043cf745

SHA512
78d716232d5215d1793598b276c4f37de579daab70179e66c26bcebecd7593c65c4882f726c91f51c1bd8f6963b5ad3143471fdc37723d20b8f384c22a96b3e5

Download Submit
C:\Windows\System32\YRTGqKl.exe

Filesize
1.6MB

MD5
bf70d4553057a77bb23b2c9b4329a441

SHA1
37062de4600ac59116db2563f839165715aff9bf

SHA256
0c095e4843ee31aa1b8a90c42491b4795fa25b92ebbe13c0c6e636df224689ac

SHA512
e156cc43552ab97d607582bca92a65ec88513d3eceb6e3f1e6b19627709fb9f9f3322ab492e32b9ec635aa44ac35bdf63f32adecb7755dfedc0a2c01b892b4ec

Download Submit
C:\Windows\System32\aIuWOnm.exe

Filesize
1.6MB

MD5
212d894c2f175a32f4e558c5a76a04de

SHA1
2d92e3b85b19475396db70d567f085e3358c4a04

SHA256
f92b5aa5bf46916696770afa5d5807d714ca5f9da9834e1687d9f8d3107fc93d

SHA512
f59e66b5b965936c43299990053f4e71d573c6862e75ce00847a12ba57348cb15f633d4083581130f438e2d2b0930402bdbdea73ea4e1d65c874fe1b59f371ff

Download Submit
C:\Windows\System32\bLUdvRl.exe

Filesize
1.6MB

MD5
247be8d6291d078c7ef3bccca27ea3b7

SHA1
1499a8317a19ad7e04f8802567b575101038c013

SHA256
e3a920aa09e9c567b508dc2bfb703e59caa429ed47d72632a5273996de44eaaa

SHA512
2d3cd20b0ff3268e4477acb0572ad7e54a5cd54d8f51b46a70389d0a99fbf0bf030f1f3320f97e96c6bff75e27e07f2c3d90660716be3cd76c7d03a5ee607cf8

Download Submit
C:\Windows\System32\bYbhwII.exe

Filesize
1.6MB

MD5
565f27785ad1a3a7b4dd325eb6bba11c

SHA1
cdd24c79117781369a1f51131f21b6faba685337

SHA256
67814c6c632b398b8827ade9a389ef8c514417e1184b54e6f4c4b4eaed398ebe

SHA512
56306feb62a04accc4884cb4e032a39035efaac1f342b217056033faff41ba57bb8ebdbe7c5d571c03ed7b9e83eaa941efb5f0be4bc63ea2f48f654db9a2a6fc

Download Submit
C:\Windows\System32\borzMLK.exe

Filesize
1.6MB

MD5
30e46c627e6dc5b39016c18b6bd97b59

SHA1
aacc0c7a6aa6e5ba8a8432393b1e852b5ec7de69

SHA256
c1a418127764eb0d26af3f81bcc490cbb06eef78447a3927a132195f4eae05df

SHA512
ce14bbdfd499d37374e66f9c01f8db5ab60e7df0980f435b434ef8dd3546d4cbf4ab085f811a2ba0c6a3ceaf22b1a3795bb0a30f79a6725784de508c6f09f297

Download Submit
C:\Windows\System32\gyYRJpO.exe

Filesize
1.6MB

MD5
1530253ba2c164e4f5143cc16b2e3302

SHA1
4fcd3e2ff63b4788c79a0e96d1f778d40b88cd5d

SHA256
832d10758a8bb6af17578c82f648563e56e85494e77e84f261ecc272e927e913

SHA512
f5a9e9e161b6a5dd431baf74f446db52a5e450c34274d9142f5cfd910bcd30ebd32a1137e46011e085fa00ac37576b7c95b6b68577a77f02591567067b56acb8

Download Submit
C:\Windows\System32\hwlIFLa.exe

Filesize
1.6MB

MD5
68d10959971d46e1550dd0ee160e8376

SHA1
564849f456c5c34ae546ba62f2c7fae2bea6d28c

SHA256
57f0606ee2c0c245261942e2be7ef893f66306f05413860bf73dd202ad913e98

SHA512
3f7fd875f6439b8c332e10b8f411cd03d1d23929f1d01adace38a4fee498080844448dd2336a3ca4a306ecf7d94fe1e43339da0563b74916f71069ab8d842281

Download Submit
C:\Windows\System32\kfrPVFL.exe

Filesize
1.6MB

MD5
f789a9c6d1a694161362e2d84c795222

SHA1
fb4fdc88851a285703f02d6b0fd6e38b19d97561

SHA256
80d7271c33166008d9cbbf8256188c537edbe33168b466f54117789b11820103

SHA512
e3806cc0c73c699d9bfdb2ac07f88d5ccce336394bd5e46de287fce815becceb1492849a9567e38353899c1fa4e37e2f105b1b2ef80b5628697c3a5aaf98b895

Download Submit
C:\Windows\System32\nDDzLQa.exe

Filesize
1.6MB

MD5
559dba235df38317e579057c7aab138e

SHA1
790b283950340fc518dd810e823cb8efc1cf491b

SHA256
29cb458c7371d2ecd1dd82c051f0f5de036a1c6fee5c5ccd3a8c6bed215d8d4c

SHA512
300a0e380add72b99a4198fcc4d8c2ba65e39796f17f11d3d68f0ead0c5e3ad1f9ec5e0f117aad2e4a33b4ea09776028f85062fb73cd2e30982bf2b88de8df11

Download Submit
C:\Windows\System32\qhgbCqz.exe

Filesize
1.6MB

MD5
8840fcf43a98e2608605cf09763a24d1

SHA1
027e377ca05e04a36a93dc4838d6c62ec4c66dd9

SHA256
1bc5f25137481d0237e0c1133a783bd110d9d372cf65216a9c9f3b347391d466

SHA512
740933704eed6e92330abb593d68e545d327197b26699c6d372d8d11c921b71c66098ced4c690dacfdc83cff89d19f2eeccd0a68b8712c8dab2924f49ad43471

Download Submit
C:\Windows\System32\rUOHzrZ.exe

Filesize
1.6MB

MD5
34e9fd7bb6bb02a3d1c4b071d08a614d

SHA1
9866646b88681e7709d206abcc11faa6f40e2e74

SHA256
0e9a8e2f6419aa556c44078f69f1c9da80d5f761ef71fe062254a6c081b969e5

SHA512
a3b21dc2e7ff132b05d98a8baf5a9438ecf2d422c99539f6e9832e36f49aabcfc4f7ddb23af47b289169dd9e46a29057ff9631292214c166a0a74180a2a3cebc

Download Submit
C:\Windows\System32\sRAdfzh.exe

Filesize
1.6MB

MD5
be4d36a210308c17ab2a19ceb5b3fd95

SHA1
c15fdb17ec339de68d4d2c3b174359d060e193d8

SHA256
f0850a5df7c5cda70a4b85cee55b0b110710652d27d510bba4305ee97a8b52a4

SHA512
35a3b1f8b7af8727f26d3ac654fb10048aac0a2dfb5777897c9ac6c0ed1953e461f0a8a02dce76b38a1001cb48eb1978979eef4e9e4f7edcfe9adf187478d493

Download Submit
C:\Windows\System32\vujwBUs.exe

Filesize
1.6MB

MD5
c2688305e6a7407d1ad207d7246beaf7

SHA1
978b9d4cb7442a5c35ab4c13e633e26e0fa2f3ef

SHA256
c4cdf31b8eb143a42b524b4962d1074803b9e4af64cefa27a828aaa6e12bed9f

SHA512
d5cd6fa8c4b67be4014ab0b91fa2135111662d43ccecc77e61422796b7028a4af8e3a08e13d1a0404da9f9d75992b077e0d6e509fc4b7b8354d9ef8777b43c5a

Download Submit
C:\Windows\System32\wtcMHdH.exe

Filesize
1.6MB

MD5
edb062689b659837a8dd72ea1039152d

SHA1
94a9b7d1304718e79c1db7e96dfbdaf028207957

SHA256
1fa519a39ebf19738994751f0208a8cc89a16c7c19d2796f875babb141668826

SHA512
f29cad9912ab45501f6d3c72c3be8d33601ad4cf02bf284e27b5c11f4af5fdf208d0b6edbd918082d850e70ebd766882ac8a0319976116f35a1672f76ec06261

Download Submit
C:\Windows\System32\xxslTMh.exe

Filesize
1.6MB

MD5
05834733384a3d57e11ba931a48230d8

SHA1
ffcfbd4db367bd31b3664b211df7507e802e5edf

SHA256
99e8174ae0dca2ba0d30d4db0d83e5e45c77d79ea102cca50c1481f074d9488a

SHA512
7168820dc654853bfe57ce8a9ee557b35f54ac7eb198a61a40e75ac021f12f65a6dc474dbeeabcaa01241ad91da5634c36174bc292c46da8ad1250bff25570c3

Download Submit
C:\Windows\System32\yUZvXPO.exe

Filesize
1.6MB

MD5
94eb320d5bfa9139fb6fce827341be00

SHA1
6599b3fd06544f927ca1c0098ea73f393ba5eb84

SHA256
05ad5766a3a8e208789ce2d19b3dbd2d9193727eecd1fcc0ee8941381d5c231d

SHA512
521359949290553255f7c3e77b18228fc57dc7a0060973877cdefb44754de03227d47b5d13449802a5e8a88b4528e88bd3de9490e416c625bf27203b0785f480

Download Submit
C:\Windows\System32\yXoiWIc.exe

Filesize
1.6MB

MD5
32633ddddcd3e07fd2aaec9db510301a

SHA1
f91981e24cb6ba6b10cc0269f178bf6c98a1c492

SHA256
f5f9f1646390f4478d45ed70af073a2b5fe1bed81a19db6597071f6081565b48

SHA512
6044097a558690a4dd282644b91159d16ce4db596af6dfd69c8b2f29fbe6a4b94797ef0824d0ebec7459a21c95c7a9456e94371b2bec2497775c0eaf1a6af25b

Download Submit
C:\Windows\System32\zurVuWj.exe

Filesize
1.6MB

MD5
e6df0f4867abc56abd870edb1e8f3567

SHA1
e276bbb7444e088b03640cd52b9450c92a233185

SHA256
e9b530f6b7b4e0fa44e3a9cffa0d58892bc879d11ba0825382eb984a287e87c1

SHA512
0ce73a278083cdd7f02285816009f66bca3859d31b49fd45328c978457871f7af3a27d45a51c1616b32e52c977bcc4512cafec21aebebf0a331d489cf498f31c

Download Submit
memory/388-433-0x00007FF6F67F0000-0x00007FF6F6BE1000-memory.dmp

Filesize
3.9MB

Download
memory/388-2174-0x00007FF6F67F0000-0x00007FF6F6BE1000-memory.dmp

Filesize
3.9MB

Download
memory/1148-493-0x00007FF6AAE60000-0x00007FF6AB251000-memory.dmp

Filesize
3.9MB

Download
memory/1148-2228-0x00007FF6AAE60000-0x00007FF6AB251000-memory.dmp

Filesize
3.9MB

Download
memory/1456-2171-0x00007FF6BC650000-0x00007FF6BCA41000-memory.dmp

Filesize
3.9MB

Download
memory/1456-501-0x00007FF6BC650000-0x00007FF6BCA41000-memory.dmp

Filesize
3.9MB

Download
memory/1740-1-0x000002BD538D0000-0x000002BD538E0000-memory.dmp

Filesize
64KB

Download
memory/1740-2145-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp

Filesize
3.9MB

Download
memory/1740-1353-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp

Filesize
3.9MB

Download
memory/1740-0-0x00007FF65F740000-0x00007FF65FB31000-memory.dmp

Filesize
3.9MB

Download
memory/2004-437-0x00007FF63A2A0000-0x00007FF63A691000-memory.dmp

Filesize
3.9MB

Download
memory/2004-2186-0x00007FF63A2A0000-0x00007FF63A691000-memory.dmp

Filesize
3.9MB

Download
memory/2228-456-0x00007FF615790000-0x00007FF615B81000-memory.dmp

Filesize
3.9MB

Download
memory/2300-478-0x00007FF7BD6D0000-0x00007FF7BDAC1000-memory.dmp

Filesize
3.9MB

Download
memory/2300-2222-0x00007FF7BD6D0000-0x00007FF7BDAC1000-memory.dmp

Filesize
3.9MB

Download
memory/2424-463-0x00007FF73EA00000-0x00007FF73EDF1000-memory.dmp

Filesize
3.9MB

Download
memory/2424-2220-0x00007FF73EA00000-0x00007FF73EDF1000-memory.dmp

Filesize
3.9MB

Download
memory/2428-446-0x00007FF7A72C0000-0x00007FF7A76B1000-memory.dmp

Filesize
3.9MB

Download
memory/2428-2216-0x00007FF7A72C0000-0x00007FF7A76B1000-memory.dmp

Filesize
3.9MB

Download
memory/2436-485-0x00007FF6F5610000-0x00007FF6F5A01000-memory.dmp

Filesize
3.9MB

Download
memory/2524-486-0x00007FF7AC870000-0x00007FF7ACC61000-memory.dmp

Filesize
3.9MB

Download
memory/2524-2235-0x00007FF7AC870000-0x00007FF7ACC61000-memory.dmp

Filesize
3.9MB

Download
memory/2708-2163-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp

Filesize
3.9MB

Download
memory/2708-19-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp

Filesize
3.9MB

Download
memory/2708-1454-0x00007FF638CF0000-0x00007FF6390E1000-memory.dmp

Filesize
3.9MB

Download
memory/2828-443-0x00007FF7B1C90000-0x00007FF7B2081000-memory.dmp

Filesize
3.9MB

Download
memory/2888-17-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp

Filesize
3.9MB

Download
memory/2888-2166-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp

Filesize
3.9MB

Download
memory/2888-1244-0x00007FF6B6C90000-0x00007FF6B7081000-memory.dmp

Filesize
3.9MB

Download
memory/3408-469-0x00007FF755670000-0x00007FF755A61000-memory.dmp

Filesize
3.9MB

Download
memory/3408-2224-0x00007FF755670000-0x00007FF755A61000-memory.dmp

Filesize
3.9MB

Download
memory/3788-2179-0x00007FF717280000-0x00007FF717671000-memory.dmp

Filesize
3.9MB

Download
memory/3788-436-0x00007FF717280000-0x00007FF717671000-memory.dmp

Filesize
3.9MB

Download
memory/4056-434-0x00007FF760B70000-0x00007FF760F61000-memory.dmp

Filesize
3.9MB

Download
memory/4056-2175-0x00007FF760B70000-0x00007FF760F61000-memory.dmp

Filesize
3.9MB

Download
memory/4196-449-0x00007FF706190000-0x00007FF706581000-memory.dmp

Filesize
3.9MB

Download
memory/4196-2187-0x00007FF706190000-0x00007FF706581000-memory.dmp

Filesize
3.9MB

Download
memory/4220-2169-0x00007FF6D07F0000-0x00007FF6D0BE1000-memory.dmp

Filesize
3.9MB

Download
memory/4220-497-0x00007FF6D07F0000-0x00007FF6D0BE1000-memory.dmp

Filesize
3.9MB

Download
memory/4348-473-0x00007FF6A3A50000-0x00007FF6A3E41000-memory.dmp

Filesize
3.9MB

Download
memory/4348-2219-0x00007FF6A3A50000-0x00007FF6A3E41000-memory.dmp

Filesize
3.9MB

Download
memory/4508-2177-0x00007FF6084F0000-0x00007FF6088E1000-memory.dmp

Filesize
3.9MB

Download
memory/4508-435-0x00007FF6084F0000-0x00007FF6088E1000-memory.dmp

Filesize
3.9MB

Download
memory/4856-491-0x00007FF66E750000-0x00007FF66EB41000-memory.dmp

Filesize
3.9MB

Download
memory/4856-2241-0x00007FF66E750000-0x00007FF66EB41000-memory.dmp

Filesize
3.9MB

Download
memory/4896-27-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp

Filesize
3.9MB

Download
memory/4896-2168-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp

Filesize
3.9MB

Download
memory/4896-1457-0x00007FF707CB0000-0x00007FF7080A1000-memory.dmp

Filesize
3.9MB

Download
memory/4936-480-0x00007FF751930000-0x00007FF751D21000-memory.dmp

Filesize
3.9MB

Download
memory/4936-2226-0x00007FF751930000-0x00007FF751D21000-memory.dmp

Filesize
3.9MB

Download
memory/5104-2181-0x00007FF73B680000-0x00007FF73BA71000-memory.dmp

Filesize
3.9MB

Download
memory/5104-438-0x00007FF73B680000-0x00007FF73BA71000-memory.dmp

Filesize
3.9MB

Download