xmrig | 3c7420a65f56d8192d52aa62a4954194454d678a85eba937eb173425aeedb56d

Analysis

max time kernel
96s
max time network
95s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
24/08/2024, 07:45

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

b14af269335b811af014256132180e10N.exe
Size

1.7MB
MD5

b14af269335b811af014256132180e10
SHA1

cbece0545694c1f54701a708955459eef6d757f2
SHA256

3c7420a65f56d8192d52aa62a4954194454d678a85eba937eb173425aeedb56d
SHA512

25674be3153d10946dc088b3b844d9dfc625d5ff67906f0ea26418d260dee415cad28cedad4a26d2dbb51a52eb8e6974a3c901c05149aee2b3f2d5ab5c373ade
SSDEEP

24576:JanwhSe11QSONCpGJCjETPl+Me7bPMS8Ykgcdt9vvQNs9TJrtntrB/Vh2qkYcHH1:knw9oUUEEDl+xTMS8Tg3avhnV3YHZUw

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/2068-63-0x00007FF6E7F80000-0x00007FF6E8371000-memory.dmp	xmrig
behavioral2/memory/3760-76-0x00007FF6C8300000-0x00007FF6C86F1000-memory.dmp	xmrig
behavioral2/memory/1536-79-0x00007FF68A750000-0x00007FF68AB41000-memory.dmp	xmrig
behavioral2/memory/3240-70-0x00007FF7A1850000-0x00007FF7A1C41000-memory.dmp	xmrig
behavioral2/memory/1528-64-0x00007FF616AC0000-0x00007FF616EB1000-memory.dmp	xmrig
behavioral2/memory/4556-60-0x00007FF7D2A90000-0x00007FF7D2E81000-memory.dmp	xmrig
behavioral2/memory/5052-434-0x00007FF655EC0000-0x00007FF6562B1000-memory.dmp	xmrig
behavioral2/memory/4416-436-0x00007FF6F0910000-0x00007FF6F0D01000-memory.dmp	xmrig
behavioral2/memory/1968-439-0x00007FF798AB0000-0x00007FF798EA1000-memory.dmp	xmrig
behavioral2/memory/4544-438-0x00007FF782BA0000-0x00007FF782F91000-memory.dmp	xmrig
behavioral2/memory/1572-441-0x00007FF6DAAF0000-0x00007FF6DAEE1000-memory.dmp	xmrig
behavioral2/memory/640-443-0x00007FF7EE410000-0x00007FF7EE801000-memory.dmp	xmrig
behavioral2/memory/2792-442-0x00007FF771C70000-0x00007FF772061000-memory.dmp	xmrig
behavioral2/memory/4168-440-0x00007FF63DEB0000-0x00007FF63E2A1000-memory.dmp	xmrig
behavioral2/memory/1468-437-0x00007FF6A6CD0000-0x00007FF6A70C1000-memory.dmp	xmrig
behavioral2/memory/2308-435-0x00007FF754630000-0x00007FF754A21000-memory.dmp	xmrig
behavioral2/memory/3156-462-0x00007FF7F74A0000-0x00007FF7F7891000-memory.dmp	xmrig
behavioral2/memory/2060-455-0x00007FF67AFC0000-0x00007FF67B3B1000-memory.dmp	xmrig
behavioral2/memory/4548-451-0x00007FF746F70000-0x00007FF747361000-memory.dmp	xmrig
behavioral2/memory/2956-446-0x00007FF728290000-0x00007FF728681000-memory.dmp	xmrig
behavioral2/memory/4356-465-0x00007FF7715F0000-0x00007FF7719E1000-memory.dmp	xmrig
behavioral2/memory/3360-1618-0x00007FF689AE0000-0x00007FF689ED1000-memory.dmp	xmrig
behavioral2/memory/3880-1629-0x00007FF68B390000-0x00007FF68B781000-memory.dmp	xmrig
behavioral2/memory/852-1622-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp	xmrig
behavioral2/memory/700-1635-0x00007FF678870000-0x00007FF678C61000-memory.dmp	xmrig
behavioral2/memory/852-2120-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp	xmrig
behavioral2/memory/2956-2122-0x00007FF728290000-0x00007FF728681000-memory.dmp	xmrig
behavioral2/memory/3880-2124-0x00007FF68B390000-0x00007FF68B781000-memory.dmp	xmrig
behavioral2/memory/4548-2126-0x00007FF746F70000-0x00007FF747361000-memory.dmp	xmrig
behavioral2/memory/2068-2158-0x00007FF6E7F80000-0x00007FF6E8371000-memory.dmp	xmrig
behavioral2/memory/1528-2156-0x00007FF616AC0000-0x00007FF616EB1000-memory.dmp	xmrig
behavioral2/memory/4556-2130-0x00007FF7D2A90000-0x00007FF7D2E81000-memory.dmp	xmrig
behavioral2/memory/4544-2182-0x00007FF782BA0000-0x00007FF782F91000-memory.dmp	xmrig
behavioral2/memory/1468-2180-0x00007FF6A6CD0000-0x00007FF6A70C1000-memory.dmp	xmrig
behavioral2/memory/700-2174-0x00007FF678870000-0x00007FF678C61000-memory.dmp	xmrig
behavioral2/memory/5052-2172-0x00007FF655EC0000-0x00007FF6562B1000-memory.dmp	xmrig
behavioral2/memory/4356-2170-0x00007FF7715F0000-0x00007FF7719E1000-memory.dmp	xmrig
behavioral2/memory/3156-2168-0x00007FF7F74A0000-0x00007FF7F7891000-memory.dmp	xmrig
behavioral2/memory/1536-2164-0x00007FF68A750000-0x00007FF68AB41000-memory.dmp	xmrig
behavioral2/memory/2060-2162-0x00007FF67AFC0000-0x00007FF67B3B1000-memory.dmp	xmrig
behavioral2/memory/3760-2166-0x00007FF6C8300000-0x00007FF6C86F1000-memory.dmp	xmrig
behavioral2/memory/3240-2161-0x00007FF7A1850000-0x00007FF7A1C41000-memory.dmp	xmrig
behavioral2/memory/4416-2178-0x00007FF6F0910000-0x00007FF6F0D01000-memory.dmp	xmrig
behavioral2/memory/2792-2192-0x00007FF771C70000-0x00007FF772061000-memory.dmp	xmrig
behavioral2/memory/640-2190-0x00007FF7EE410000-0x00007FF7EE801000-memory.dmp	xmrig
behavioral2/memory/1572-2188-0x00007FF6DAAF0000-0x00007FF6DAEE1000-memory.dmp	xmrig
behavioral2/memory/4168-2186-0x00007FF63DEB0000-0x00007FF63E2A1000-memory.dmp	xmrig
behavioral2/memory/1968-2184-0x00007FF798AB0000-0x00007FF798EA1000-memory.dmp	xmrig
behavioral2/memory/2308-2176-0x00007FF754630000-0x00007FF754A21000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
852	rEvEILj.exe
2956	hdTTMrd.exe
3880	bobIGcu.exe
4548	aFptsnl.exe
4556	ZUyOaHo.exe
2068	TUJGdva.exe
1528	qvqLvZd.exe
3240	jVpYtJd.exe
2060	FipBbIq.exe
700	uEHvdbw.exe
3760	BRjjbxD.exe
1536	nXiKfYR.exe
5052	fMOPIYv.exe
3156	OenUeaA.exe
4356	vQEjvnA.exe
2308	nmKShUJ.exe
4416	MgMuPVb.exe
1468	DtIlgHX.exe
4544	DdfeDdl.exe
1968	vrUtnqn.exe
4168	WnXUnsV.exe
1572	OvbjJCs.exe
2792	CsEHTXC.exe
640	QquVfBP.exe
2156	oFPxRUm.exe
1180	DHdoLTo.exe
4252	QScXDZB.exe
3672	znDoNnc.exe
4884	XmceFKJ.exe
856	WSfDgdD.exe
1668	oUrdNzy.exe
2164	rXstHPW.exe
1440	dtgpiVy.exe
2588	aAVsvCd.exe
1532	DwJRqod.exe
2628	iRvZGjP.exe
2352	mlBDGpm.exe
3248	gtuRcuw.exe
4640	tRevRLX.exe
4520	ceQwCYp.exe
1284	ZlCSFXA.exe
4532	CQBNVqB.exe
3728	naKDasQ.exe
2468	SgsYECM.exe
4812	ZDYndVG.exe
4288	LroEkMw.exe
2532	NSLqjXk.exe
1932	Ptymvnf.exe
2780	LKpWKzF.exe
1940	hICnNHC.exe
3140	VGWnCqH.exe
1992	nNStMQZ.exe
4740	wmedVwW.exe
364	rYwhOxN.exe
4060	GJkOHHY.exe
1224	SLxzHQN.exe
3656	Koiejwy.exe
4560	jDgwzfu.exe
1888	OssBHxY.exe
1664	xhIidKM.exe
5000	GBCkdpn.exe
3456	AZUCZOD.exe
3056	etlrqYZ.exe
804	MvbcCkz.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/3360-0-0x00007FF689AE0000-0x00007FF689ED1000-memory.dmp	upx
behavioral2/files/0x00090000000233c5-5.dat	upx
behavioral2/files/0x000800000002341f-10.dat	upx
behavioral2/files/0x0007000000023423-8.dat	upx
behavioral2/memory/852-12-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp	upx
behavioral2/files/0x0007000000023424-20.dat	upx
behavioral2/files/0x0007000000023428-39.dat	upx
behavioral2/files/0x0007000000023427-37.dat	upx
behavioral2/files/0x0007000000023426-32.dat	upx
behavioral2/files/0x0007000000023425-27.dat	upx
behavioral2/files/0x000700000002342c-56.dat	upx
behavioral2/files/0x0007000000023429-59.dat	upx
behavioral2/memory/2068-63-0x00007FF6E7F80000-0x00007FF6E8371000-memory.dmp	upx
behavioral2/memory/3760-76-0x00007FF6C8300000-0x00007FF6C86F1000-memory.dmp	upx
behavioral2/files/0x0007000000023431-92.dat	upx
behavioral2/files/0x0007000000023433-102.dat	upx
behavioral2/files/0x0007000000023434-113.dat	upx
behavioral2/files/0x000700000002343c-145.dat	upx
behavioral2/files/0x0007000000023440-170.dat	upx
behavioral2/files/0x000700000002343f-165.dat	upx
behavioral2/files/0x000700000002343e-160.dat	upx
behavioral2/files/0x000700000002343d-156.dat	upx
behavioral2/files/0x000700000002343b-147.dat	upx
behavioral2/files/0x000700000002343a-143.dat	upx
behavioral2/files/0x0007000000023439-138.dat	upx
behavioral2/files/0x0007000000023438-133.dat	upx
behavioral2/files/0x0007000000023437-128.dat	upx
behavioral2/files/0x0007000000023436-121.dat	upx
behavioral2/files/0x0007000000023435-115.dat	upx
behavioral2/files/0x0007000000023432-100.dat	upx
behavioral2/files/0x0007000000023430-90.dat	upx
behavioral2/files/0x000700000002342f-87.dat	upx
behavioral2/files/0x000700000002342e-82.dat	upx
behavioral2/memory/1536-79-0x00007FF68A750000-0x00007FF68AB41000-memory.dmp	upx
behavioral2/memory/700-75-0x00007FF678870000-0x00007FF678C61000-memory.dmp	upx
behavioral2/files/0x000700000002342d-72.dat	upx
behavioral2/memory/3240-70-0x00007FF7A1850000-0x00007FF7A1C41000-memory.dmp	upx
behavioral2/files/0x000700000002342a-67.dat	upx
behavioral2/files/0x000700000002342b-66.dat	upx
behavioral2/memory/1528-64-0x00007FF616AC0000-0x00007FF616EB1000-memory.dmp	upx
behavioral2/memory/4556-60-0x00007FF7D2A90000-0x00007FF7D2E81000-memory.dmp	upx
behavioral2/memory/5052-434-0x00007FF655EC0000-0x00007FF6562B1000-memory.dmp	upx
behavioral2/memory/3880-44-0x00007FF68B390000-0x00007FF68B781000-memory.dmp	upx
behavioral2/memory/4416-436-0x00007FF6F0910000-0x00007FF6F0D01000-memory.dmp	upx
behavioral2/memory/1968-439-0x00007FF798AB0000-0x00007FF798EA1000-memory.dmp	upx
behavioral2/memory/4544-438-0x00007FF782BA0000-0x00007FF782F91000-memory.dmp	upx
behavioral2/memory/1572-441-0x00007FF6DAAF0000-0x00007FF6DAEE1000-memory.dmp	upx
behavioral2/memory/640-443-0x00007FF7EE410000-0x00007FF7EE801000-memory.dmp	upx
behavioral2/memory/2792-442-0x00007FF771C70000-0x00007FF772061000-memory.dmp	upx
behavioral2/memory/4168-440-0x00007FF63DEB0000-0x00007FF63E2A1000-memory.dmp	upx
behavioral2/memory/1468-437-0x00007FF6A6CD0000-0x00007FF6A70C1000-memory.dmp	upx
behavioral2/memory/2308-435-0x00007FF754630000-0x00007FF754A21000-memory.dmp	upx
behavioral2/memory/3156-462-0x00007FF7F74A0000-0x00007FF7F7891000-memory.dmp	upx
behavioral2/memory/2060-455-0x00007FF67AFC0000-0x00007FF67B3B1000-memory.dmp	upx
behavioral2/memory/4548-451-0x00007FF746F70000-0x00007FF747361000-memory.dmp	upx
behavioral2/memory/2956-446-0x00007FF728290000-0x00007FF728681000-memory.dmp	upx
behavioral2/memory/4356-465-0x00007FF7715F0000-0x00007FF7719E1000-memory.dmp	upx
behavioral2/memory/3360-1618-0x00007FF689AE0000-0x00007FF689ED1000-memory.dmp	upx
behavioral2/memory/3880-1629-0x00007FF68B390000-0x00007FF68B781000-memory.dmp	upx
behavioral2/memory/852-1622-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp	upx
behavioral2/memory/700-1635-0x00007FF678870000-0x00007FF678C61000-memory.dmp	upx
behavioral2/memory/852-2120-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp	upx
behavioral2/memory/2956-2122-0x00007FF728290000-0x00007FF728681000-memory.dmp	upx
behavioral2/memory/3880-2124-0x00007FF68B390000-0x00007FF68B781000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\sRpGWNO.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\hhfXVly.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\pnBuIRt.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\wVmHvFw.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\udQYgFH.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\nPwOsaZ.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\ulXJFUI.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\jJMumeO.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\aBbqMWR.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\tzpylzS.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\uflDTvT.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\DdfeDdl.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\QwEbMvQ.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\AsbDjjt.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\oZroLjD.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\yJxmkVc.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\DHdoLTo.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\iRvZGjP.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\SSAstcp.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\bMWArWG.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\MlZoNud.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\hNBtvwp.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\xwHKbcT.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\WnXUnsV.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\ZDYpGWw.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\lRmLSLZ.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\kBTrqip.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\OIwldhe.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\zMTmScQ.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\szMsPzD.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\mDQlkPL.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\OyugaKM.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\HKLiozR.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\qDKAqhH.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\VfWUFFL.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\CDVSLiT.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\TjSIngr.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\DWSQjxp.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\igZkUiB.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\NZftQYP.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\WtNuKZD.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\qNLszJN.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\SITohRd.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\gUbDiYP.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\BqtfDqN.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\cyhotqy.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\UreyNlN.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\ujbvmlQ.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\JhleVux.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\IMqgFVK.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\QquVfBP.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\lDRcquJ.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\qEgwgyi.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\EKmPSwN.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\PIgWWGB.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\lRcYvek.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\RdcdTdI.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\eiZLZxY.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\WvcLlYh.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\RndVsVs.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\oExtIvR.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\SLqTypM.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\sfHnTjC.exe	b14af269335b811af014256132180e10N.exe
File created	C:\Windows\System32\PJbNiSJ.exe	b14af269335b811af014256132180e10N.exe

Checks SCSI registry key(s) 3 TTPs 12 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 4 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 36 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe

Suspicious use of AdjustPrivilegeToken 10 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13580	dwm.exe
Token: SeChangeNotifyPrivilege	13580	dwm.exe
Token: 33	13580	dwm.exe
Token: SeIncBasePriorityPrivilege	13580	dwm.exe
Token: SeCreateGlobalPrivilege	14728	dwm.exe
Token: SeChangeNotifyPrivilege	14728	dwm.exe
Token: 33	14728	dwm.exe
Token: SeIncBasePriorityPrivilege	14728	dwm.exe
Token: SeShutdownPrivilege	14728	dwm.exe
Token: SeCreatePagefilePrivilege	14728	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3360 wrote to memory of 852	3360	b14af269335b811af014256132180e10N.exe	85
PID 3360 wrote to memory of 852	3360	b14af269335b811af014256132180e10N.exe	85
PID 3360 wrote to memory of 2956	3360	b14af269335b811af014256132180e10N.exe	86
PID 3360 wrote to memory of 2956	3360	b14af269335b811af014256132180e10N.exe	86
PID 3360 wrote to memory of 3880	3360	b14af269335b811af014256132180e10N.exe	87
PID 3360 wrote to memory of 3880	3360	b14af269335b811af014256132180e10N.exe	87
PID 3360 wrote to memory of 4548	3360	b14af269335b811af014256132180e10N.exe	88
PID 3360 wrote to memory of 4548	3360	b14af269335b811af014256132180e10N.exe	88
PID 3360 wrote to memory of 4556	3360	b14af269335b811af014256132180e10N.exe	89
PID 3360 wrote to memory of 4556	3360	b14af269335b811af014256132180e10N.exe	89
PID 3360 wrote to memory of 2068	3360	b14af269335b811af014256132180e10N.exe	90
PID 3360 wrote to memory of 2068	3360	b14af269335b811af014256132180e10N.exe	90
PID 3360 wrote to memory of 1528	3360	b14af269335b811af014256132180e10N.exe	91
PID 3360 wrote to memory of 1528	3360	b14af269335b811af014256132180e10N.exe	91
PID 3360 wrote to memory of 3240	3360	b14af269335b811af014256132180e10N.exe	92
PID 3360 wrote to memory of 3240	3360	b14af269335b811af014256132180e10N.exe	92
PID 3360 wrote to memory of 2060	3360	b14af269335b811af014256132180e10N.exe	93
PID 3360 wrote to memory of 2060	3360	b14af269335b811af014256132180e10N.exe	93
PID 3360 wrote to memory of 700	3360	b14af269335b811af014256132180e10N.exe	94
PID 3360 wrote to memory of 700	3360	b14af269335b811af014256132180e10N.exe	94
PID 3360 wrote to memory of 3760	3360	b14af269335b811af014256132180e10N.exe	95
PID 3360 wrote to memory of 3760	3360	b14af269335b811af014256132180e10N.exe	95
PID 3360 wrote to memory of 1536	3360	b14af269335b811af014256132180e10N.exe	96
PID 3360 wrote to memory of 1536	3360	b14af269335b811af014256132180e10N.exe	96
PID 3360 wrote to memory of 5052	3360	b14af269335b811af014256132180e10N.exe	97
PID 3360 wrote to memory of 5052	3360	b14af269335b811af014256132180e10N.exe	97
PID 3360 wrote to memory of 3156	3360	b14af269335b811af014256132180e10N.exe	98
PID 3360 wrote to memory of 3156	3360	b14af269335b811af014256132180e10N.exe	98
PID 3360 wrote to memory of 4356	3360	b14af269335b811af014256132180e10N.exe	99
PID 3360 wrote to memory of 4356	3360	b14af269335b811af014256132180e10N.exe	99
PID 3360 wrote to memory of 2308	3360	b14af269335b811af014256132180e10N.exe	100
PID 3360 wrote to memory of 2308	3360	b14af269335b811af014256132180e10N.exe	100
PID 3360 wrote to memory of 4416	3360	b14af269335b811af014256132180e10N.exe	101
PID 3360 wrote to memory of 4416	3360	b14af269335b811af014256132180e10N.exe	101
PID 3360 wrote to memory of 1468	3360	b14af269335b811af014256132180e10N.exe	102
PID 3360 wrote to memory of 1468	3360	b14af269335b811af014256132180e10N.exe	102
PID 3360 wrote to memory of 4544	3360	b14af269335b811af014256132180e10N.exe	103
PID 3360 wrote to memory of 4544	3360	b14af269335b811af014256132180e10N.exe	103
PID 3360 wrote to memory of 1968	3360	b14af269335b811af014256132180e10N.exe	104
PID 3360 wrote to memory of 1968	3360	b14af269335b811af014256132180e10N.exe	104
PID 3360 wrote to memory of 4168	3360	b14af269335b811af014256132180e10N.exe	105
PID 3360 wrote to memory of 4168	3360	b14af269335b811af014256132180e10N.exe	105
PID 3360 wrote to memory of 1572	3360	b14af269335b811af014256132180e10N.exe	106
PID 3360 wrote to memory of 1572	3360	b14af269335b811af014256132180e10N.exe	106
PID 3360 wrote to memory of 2792	3360	b14af269335b811af014256132180e10N.exe	107
PID 3360 wrote to memory of 2792	3360	b14af269335b811af014256132180e10N.exe	107
PID 3360 wrote to memory of 640	3360	b14af269335b811af014256132180e10N.exe	108
PID 3360 wrote to memory of 640	3360	b14af269335b811af014256132180e10N.exe	108
PID 3360 wrote to memory of 2156	3360	b14af269335b811af014256132180e10N.exe	109
PID 3360 wrote to memory of 2156	3360	b14af269335b811af014256132180e10N.exe	109
PID 3360 wrote to memory of 1180	3360	b14af269335b811af014256132180e10N.exe	110
PID 3360 wrote to memory of 1180	3360	b14af269335b811af014256132180e10N.exe	110
PID 3360 wrote to memory of 4252	3360	b14af269335b811af014256132180e10N.exe	111
PID 3360 wrote to memory of 4252	3360	b14af269335b811af014256132180e10N.exe	111
PID 3360 wrote to memory of 3672	3360	b14af269335b811af014256132180e10N.exe	112
PID 3360 wrote to memory of 3672	3360	b14af269335b811af014256132180e10N.exe	112
PID 3360 wrote to memory of 4884	3360	b14af269335b811af014256132180e10N.exe	113
PID 3360 wrote to memory of 4884	3360	b14af269335b811af014256132180e10N.exe	113
PID 3360 wrote to memory of 856	3360	b14af269335b811af014256132180e10N.exe	114
PID 3360 wrote to memory of 856	3360	b14af269335b811af014256132180e10N.exe	114
PID 3360 wrote to memory of 1668	3360	b14af269335b811af014256132180e10N.exe	115
PID 3360 wrote to memory of 1668	3360	b14af269335b811af014256132180e10N.exe	115
PID 3360 wrote to memory of 2164	3360	b14af269335b811af014256132180e10N.exe	116
PID 3360 wrote to memory of 2164	3360	b14af269335b811af014256132180e10N.exe	116

C:\Users\Admin\AppData\Local\Temp\b14af269335b811af014256132180e10N.exe
"C:\Users\Admin\AppData\Local\Temp\b14af269335b811af014256132180e10N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3360
- C:\Windows\System32\rEvEILj.exe
  C:\Windows\System32\rEvEILj.exe
  2⤵
  - Executes dropped EXE
  PID:852
- C:\Windows\System32\hdTTMrd.exe
  C:\Windows\System32\hdTTMrd.exe
  2⤵
  - Executes dropped EXE
  PID:2956
- C:\Windows\System32\bobIGcu.exe
  C:\Windows\System32\bobIGcu.exe
  2⤵
  - Executes dropped EXE
  PID:3880
- C:\Windows\System32\aFptsnl.exe
  C:\Windows\System32\aFptsnl.exe
  2⤵
  - Executes dropped EXE
  PID:4548
- C:\Windows\System32\ZUyOaHo.exe
  C:\Windows\System32\ZUyOaHo.exe
  2⤵
  - Executes dropped EXE
  PID:4556
- C:\Windows\System32\TUJGdva.exe
  C:\Windows\System32\TUJGdva.exe
  2⤵
  - Executes dropped EXE
  PID:2068
- C:\Windows\System32\qvqLvZd.exe
  C:\Windows\System32\qvqLvZd.exe
  2⤵
  - Executes dropped EXE
  PID:1528
- C:\Windows\System32\jVpYtJd.exe
  C:\Windows\System32\jVpYtJd.exe
  2⤵
  - Executes dropped EXE
  PID:3240
- C:\Windows\System32\FipBbIq.exe
  C:\Windows\System32\FipBbIq.exe
  2⤵
  - Executes dropped EXE
  PID:2060
- C:\Windows\System32\uEHvdbw.exe
  C:\Windows\System32\uEHvdbw.exe
  2⤵
  - Executes dropped EXE
  PID:700
- C:\Windows\System32\BRjjbxD.exe
  C:\Windows\System32\BRjjbxD.exe
  2⤵
  - Executes dropped EXE
  PID:3760
- C:\Windows\System32\nXiKfYR.exe
  C:\Windows\System32\nXiKfYR.exe
  2⤵
  - Executes dropped EXE
  PID:1536
- C:\Windows\System32\fMOPIYv.exe
  C:\Windows\System32\fMOPIYv.exe
  2⤵
  - Executes dropped EXE
  PID:5052
- C:\Windows\System32\OenUeaA.exe
  C:\Windows\System32\OenUeaA.exe
  2⤵
  - Executes dropped EXE
  PID:3156
- C:\Windows\System32\vQEjvnA.exe
  C:\Windows\System32\vQEjvnA.exe
  2⤵
  - Executes dropped EXE
  PID:4356
- C:\Windows\System32\nmKShUJ.exe
  C:\Windows\System32\nmKShUJ.exe
  2⤵
  - Executes dropped EXE
  PID:2308
- C:\Windows\System32\MgMuPVb.exe
  C:\Windows\System32\MgMuPVb.exe
  2⤵
  - Executes dropped EXE
  PID:4416
- C:\Windows\System32\DtIlgHX.exe
  C:\Windows\System32\DtIlgHX.exe
  2⤵
  - Executes dropped EXE
  PID:1468
- C:\Windows\System32\DdfeDdl.exe
  C:\Windows\System32\DdfeDdl.exe
  2⤵
  - Executes dropped EXE
  PID:4544
- C:\Windows\System32\vrUtnqn.exe
  C:\Windows\System32\vrUtnqn.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\WnXUnsV.exe
  C:\Windows\System32\WnXUnsV.exe
  2⤵
  - Executes dropped EXE
  PID:4168
- C:\Windows\System32\OvbjJCs.exe
  C:\Windows\System32\OvbjJCs.exe
  2⤵
  - Executes dropped EXE
  PID:1572
- C:\Windows\System32\CsEHTXC.exe
  C:\Windows\System32\CsEHTXC.exe
  2⤵
  - Executes dropped EXE
  PID:2792
- C:\Windows\System32\QquVfBP.exe
  C:\Windows\System32\QquVfBP.exe
  2⤵
  - Executes dropped EXE
  PID:640
- C:\Windows\System32\oFPxRUm.exe
  C:\Windows\System32\oFPxRUm.exe
  2⤵
  - Executes dropped EXE
  PID:2156
- C:\Windows\System32\DHdoLTo.exe
  C:\Windows\System32\DHdoLTo.exe
  2⤵
  - Executes dropped EXE
  PID:1180
- C:\Windows\System32\QScXDZB.exe
  C:\Windows\System32\QScXDZB.exe
  2⤵
  - Executes dropped EXE
  PID:4252
- C:\Windows\System32\znDoNnc.exe
  C:\Windows\System32\znDoNnc.exe
  2⤵
  - Executes dropped EXE
  PID:3672
- C:\Windows\System32\XmceFKJ.exe
  C:\Windows\System32\XmceFKJ.exe
  2⤵
  - Executes dropped EXE
  PID:4884
- C:\Windows\System32\WSfDgdD.exe
  C:\Windows\System32\WSfDgdD.exe
  2⤵
  - Executes dropped EXE
  PID:856
- C:\Windows\System32\oUrdNzy.exe
  C:\Windows\System32\oUrdNzy.exe
  2⤵
  - Executes dropped EXE
  PID:1668
- C:\Windows\System32\rXstHPW.exe
  C:\Windows\System32\rXstHPW.exe
  2⤵
  - Executes dropped EXE
  PID:2164
- C:\Windows\System32\dtgpiVy.exe
  C:\Windows\System32\dtgpiVy.exe
  2⤵
  - Executes dropped EXE
  PID:1440
- C:\Windows\System32\aAVsvCd.exe
  C:\Windows\System32\aAVsvCd.exe
  2⤵
  - Executes dropped EXE
  PID:2588
- C:\Windows\System32\DwJRqod.exe
  C:\Windows\System32\DwJRqod.exe
  2⤵
  - Executes dropped EXE
  PID:1532
- C:\Windows\System32\iRvZGjP.exe
  C:\Windows\System32\iRvZGjP.exe
  2⤵
  - Executes dropped EXE
  PID:2628
- C:\Windows\System32\mlBDGpm.exe
  C:\Windows\System32\mlBDGpm.exe
  2⤵
  - Executes dropped EXE
  PID:2352
- C:\Windows\System32\gtuRcuw.exe
  C:\Windows\System32\gtuRcuw.exe
  2⤵
  - Executes dropped EXE
  PID:3248
- C:\Windows\System32\tRevRLX.exe
  C:\Windows\System32\tRevRLX.exe
  2⤵
  - Executes dropped EXE
  PID:4640
- C:\Windows\System32\ceQwCYp.exe
  C:\Windows\System32\ceQwCYp.exe
  2⤵
  - Executes dropped EXE
  PID:4520
- C:\Windows\System32\ZlCSFXA.exe
  C:\Windows\System32\ZlCSFXA.exe
  2⤵
  - Executes dropped EXE
  PID:1284
- C:\Windows\System32\CQBNVqB.exe
  C:\Windows\System32\CQBNVqB.exe
  2⤵
  - Executes dropped EXE
  PID:4532
- C:\Windows\System32\naKDasQ.exe
  C:\Windows\System32\naKDasQ.exe
  2⤵
  - Executes dropped EXE
  PID:3728
- C:\Windows\System32\SgsYECM.exe
  C:\Windows\System32\SgsYECM.exe
  2⤵
  - Executes dropped EXE
  PID:2468
- C:\Windows\System32\ZDYndVG.exe
  C:\Windows\System32\ZDYndVG.exe
  2⤵
  - Executes dropped EXE
  PID:4812
- C:\Windows\System32\LroEkMw.exe
  C:\Windows\System32\LroEkMw.exe
  2⤵
  - Executes dropped EXE
  PID:4288
- C:\Windows\System32\NSLqjXk.exe
  C:\Windows\System32\NSLqjXk.exe
  2⤵
  - Executes dropped EXE
  PID:2532
- C:\Windows\System32\Ptymvnf.exe
  C:\Windows\System32\Ptymvnf.exe
  2⤵
  - Executes dropped EXE
  PID:1932
- C:\Windows\System32\LKpWKzF.exe
  C:\Windows\System32\LKpWKzF.exe
  2⤵
  - Executes dropped EXE
  PID:2780
- C:\Windows\System32\hICnNHC.exe
  C:\Windows\System32\hICnNHC.exe
  2⤵
  - Executes dropped EXE
  PID:1940
- C:\Windows\System32\VGWnCqH.exe
  C:\Windows\System32\VGWnCqH.exe
  2⤵
  - Executes dropped EXE
  PID:3140
- C:\Windows\System32\nNStMQZ.exe
  C:\Windows\System32\nNStMQZ.exe
  2⤵
  - Executes dropped EXE
  PID:1992
- C:\Windows\System32\wmedVwW.exe
  C:\Windows\System32\wmedVwW.exe
  2⤵
  - Executes dropped EXE
  PID:4740
- C:\Windows\System32\rYwhOxN.exe
  C:\Windows\System32\rYwhOxN.exe
  2⤵
  - Executes dropped EXE
  PID:364
- C:\Windows\System32\GJkOHHY.exe
  C:\Windows\System32\GJkOHHY.exe
  2⤵
  - Executes dropped EXE
  PID:4060
- C:\Windows\System32\SLxzHQN.exe
  C:\Windows\System32\SLxzHQN.exe
  2⤵
  - Executes dropped EXE
  PID:1224
- C:\Windows\System32\Koiejwy.exe
  C:\Windows\System32\Koiejwy.exe
  2⤵
  - Executes dropped EXE
  PID:3656
- C:\Windows\System32\jDgwzfu.exe
  C:\Windows\System32\jDgwzfu.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\OssBHxY.exe
  C:\Windows\System32\OssBHxY.exe
  2⤵
  - Executes dropped EXE
  PID:1888
- C:\Windows\System32\xhIidKM.exe
  C:\Windows\System32\xhIidKM.exe
  2⤵
  - Executes dropped EXE
  PID:1664
- C:\Windows\System32\GBCkdpn.exe
  C:\Windows\System32\GBCkdpn.exe
  2⤵
  - Executes dropped EXE
  PID:5000
- C:\Windows\System32\AZUCZOD.exe
  C:\Windows\System32\AZUCZOD.exe
  2⤵
  - Executes dropped EXE
  PID:3456
- C:\Windows\System32\etlrqYZ.exe
  C:\Windows\System32\etlrqYZ.exe
  2⤵
  - Executes dropped EXE
  PID:3056
- C:\Windows\System32\MvbcCkz.exe
  C:\Windows\System32\MvbcCkz.exe
  2⤵
  - Executes dropped EXE
  PID:804
- C:\Windows\System32\BnOrEMQ.exe
  C:\Windows\System32\BnOrEMQ.exe
  2⤵
  PID:4484
- C:\Windows\System32\OgTkALH.exe
  C:\Windows\System32\OgTkALH.exe
  2⤵
  PID:3552
- C:\Windows\System32\udQYgFH.exe
  C:\Windows\System32\udQYgFH.exe
  2⤵
  PID:4272
- C:\Windows\System32\SvmlIld.exe
  C:\Windows\System32\SvmlIld.exe
  2⤵
  PID:3648
- C:\Windows\System32\uHXzjTH.exe
  C:\Windows\System32\uHXzjTH.exe
  2⤵
  PID:4336
- C:\Windows\System32\awdAjWV.exe
  C:\Windows\System32\awdAjWV.exe
  2⤵
  PID:2248
- C:\Windows\System32\sDznppQ.exe
  C:\Windows\System32\sDznppQ.exe
  2⤵
  PID:8
- C:\Windows\System32\CFRHYCh.exe
  C:\Windows\System32\CFRHYCh.exe
  2⤵
  PID:4968
- C:\Windows\System32\WxlpXxX.exe
  C:\Windows\System32\WxlpXxX.exe
  2⤵
  PID:3280
- C:\Windows\System32\nDDkPwS.exe
  C:\Windows\System32\nDDkPwS.exe
  2⤵
  PID:2416
- C:\Windows\System32\gUbDiYP.exe
  C:\Windows\System32\gUbDiYP.exe
  2⤵
  PID:1464
- C:\Windows\System32\puXRKcF.exe
  C:\Windows\System32\puXRKcF.exe
  2⤵
  PID:4432
- C:\Windows\System32\CYWAZlI.exe
  C:\Windows\System32\CYWAZlI.exe
  2⤵
  PID:3016
- C:\Windows\System32\DFDOjcm.exe
  C:\Windows\System32\DFDOjcm.exe
  2⤵
  PID:544
- C:\Windows\System32\SmMbEIZ.exe
  C:\Windows\System32\SmMbEIZ.exe
  2⤵
  PID:5128
- C:\Windows\System32\UmbcLpJ.exe
  C:\Windows\System32\UmbcLpJ.exe
  2⤵
  PID:5160
- C:\Windows\System32\AuhZYMR.exe
  C:\Windows\System32\AuhZYMR.exe
  2⤵
  PID:5188
- C:\Windows\System32\BqtfDqN.exe
  C:\Windows\System32\BqtfDqN.exe
  2⤵
  PID:5216
- C:\Windows\System32\xKzGqvj.exe
  C:\Windows\System32\xKzGqvj.exe
  2⤵
  PID:5244
- C:\Windows\System32\aZIYlxt.exe
  C:\Windows\System32\aZIYlxt.exe
  2⤵
  PID:5272
- C:\Windows\System32\yMpOOHm.exe
  C:\Windows\System32\yMpOOHm.exe
  2⤵
  PID:5300
- C:\Windows\System32\IEpOwHA.exe
  C:\Windows\System32\IEpOwHA.exe
  2⤵
  PID:5328
- C:\Windows\System32\UTjaPuj.exe
  C:\Windows\System32\UTjaPuj.exe
  2⤵
  PID:5356
- C:\Windows\System32\oJreBRt.exe
  C:\Windows\System32\oJreBRt.exe
  2⤵
  PID:5384
- C:\Windows\System32\xPaXTEx.exe
  C:\Windows\System32\xPaXTEx.exe
  2⤵
  PID:5416
- C:\Windows\System32\uALLMYC.exe
  C:\Windows\System32\uALLMYC.exe
  2⤵
  PID:5440
- C:\Windows\System32\EYOuiwR.exe
  C:\Windows\System32\EYOuiwR.exe
  2⤵
  PID:5476
- C:\Windows\System32\AhzhmHZ.exe
  C:\Windows\System32\AhzhmHZ.exe
  2⤵
  PID:5496
- C:\Windows\System32\bQWFojx.exe
  C:\Windows\System32\bQWFojx.exe
  2⤵
  PID:5532
- C:\Windows\System32\qsqEPbO.exe
  C:\Windows\System32\qsqEPbO.exe
  2⤵
  PID:5552
- C:\Windows\System32\NPpGmWI.exe
  C:\Windows\System32\NPpGmWI.exe
  2⤵
  PID:5580
- C:\Windows\System32\wUsvOGB.exe
  C:\Windows\System32\wUsvOGB.exe
  2⤵
  PID:5616
- C:\Windows\System32\OKNIWRj.exe
  C:\Windows\System32\OKNIWRj.exe
  2⤵
  PID:5636
- C:\Windows\System32\KlRqrGo.exe
  C:\Windows\System32\KlRqrGo.exe
  2⤵
  PID:5660
- C:\Windows\System32\JsemgpS.exe
  C:\Windows\System32\JsemgpS.exe
  2⤵
  PID:5692
- C:\Windows\System32\oiWSxRG.exe
  C:\Windows\System32\oiWSxRG.exe
  2⤵
  PID:5716
- C:\Windows\System32\QSgXBnM.exe
  C:\Windows\System32\QSgXBnM.exe
  2⤵
  PID:5748
- C:\Windows\System32\mHYLycq.exe
  C:\Windows\System32\mHYLycq.exe
  2⤵
  PID:5780
- C:\Windows\System32\rRImELc.exe
  C:\Windows\System32\rRImELc.exe
  2⤵
  PID:5804
- C:\Windows\System32\SITohRd.exe
  C:\Windows\System32\SITohRd.exe
  2⤵
  PID:5832
- C:\Windows\System32\qDKAqhH.exe
  C:\Windows\System32\qDKAqhH.exe
  2⤵
  PID:5860
- C:\Windows\System32\IzbNIYm.exe
  C:\Windows\System32\IzbNIYm.exe
  2⤵
  PID:5888
- C:\Windows\System32\viYTmJX.exe
  C:\Windows\System32\viYTmJX.exe
  2⤵
  PID:5912
- C:\Windows\System32\oExtIvR.exe
  C:\Windows\System32\oExtIvR.exe
  2⤵
  PID:5944
- C:\Windows\System32\bGYueWA.exe
  C:\Windows\System32\bGYueWA.exe
  2⤵
  PID:5968
- C:\Windows\System32\lRcYvek.exe
  C:\Windows\System32\lRcYvek.exe
  2⤵
  PID:6000
- C:\Windows\System32\uRxLWbY.exe
  C:\Windows\System32\uRxLWbY.exe
  2⤵
  PID:6024
- C:\Windows\System32\BJJjmmy.exe
  C:\Windows\System32\BJJjmmy.exe
  2⤵
  PID:6056
- C:\Windows\System32\FBFfHdy.exe
  C:\Windows\System32\FBFfHdy.exe
  2⤵
  PID:6080
- C:\Windows\System32\aPCLpqM.exe
  C:\Windows\System32\aPCLpqM.exe
  2⤵
  PID:6112
- C:\Windows\System32\CGhDhMW.exe
  C:\Windows\System32\CGhDhMW.exe
  2⤵
  PID:6136
- C:\Windows\System32\ZJOxpVf.exe
  C:\Windows\System32\ZJOxpVf.exe
  2⤵
  PID:3036
- C:\Windows\System32\OYJCOUa.exe
  C:\Windows\System32\OYJCOUa.exe
  2⤵
  PID:2988
- C:\Windows\System32\fItQXlk.exe
  C:\Windows\System32\fItQXlk.exe
  2⤵
  PID:3980
- C:\Windows\System32\brJroDH.exe
  C:\Windows\System32\brJroDH.exe
  2⤵
  PID:5144
- C:\Windows\System32\RwhpVwA.exe
  C:\Windows\System32\RwhpVwA.exe
  2⤵
  PID:5200
- C:\Windows\System32\fmuXOhH.exe
  C:\Windows\System32\fmuXOhH.exe
  2⤵
  PID:5252
- C:\Windows\System32\rSEWLhv.exe
  C:\Windows\System32\rSEWLhv.exe
  2⤵
  PID:4372
- C:\Windows\System32\bzksnSa.exe
  C:\Windows\System32\bzksnSa.exe
  2⤵
  PID:4280
- C:\Windows\System32\CDVSLiT.exe
  C:\Windows\System32\CDVSLiT.exe
  2⤵
  PID:5504
- C:\Windows\System32\emDsAIf.exe
  C:\Windows\System32\emDsAIf.exe
  2⤵
  PID:5612
- C:\Windows\System32\IeYpsMs.exe
  C:\Windows\System32\IeYpsMs.exe
  2⤵
  PID:5684
- C:\Windows\System32\FeZJeef.exe
  C:\Windows\System32\FeZJeef.exe
  2⤵
  PID:5704
- C:\Windows\System32\yJxmkVc.exe
  C:\Windows\System32\yJxmkVc.exe
  2⤵
  PID:5760
- C:\Windows\System32\ISVyjDp.exe
  C:\Windows\System32\ISVyjDp.exe
  2⤵
  PID:5796
- C:\Windows\System32\tUegJPn.exe
  C:\Windows\System32\tUegJPn.exe
  2⤵
  PID:5840
- C:\Windows\System32\PIgWWGB.exe
  C:\Windows\System32\PIgWWGB.exe
  2⤵
  PID:5896
- C:\Windows\System32\iFrWdVA.exe
  C:\Windows\System32\iFrWdVA.exe
  2⤵
  PID:5936
- C:\Windows\System32\poYvknL.exe
  C:\Windows\System32\poYvknL.exe
  2⤵
  PID:3288
- C:\Windows\System32\SXGmrzj.exe
  C:\Windows\System32\SXGmrzj.exe
  2⤵
  PID:6064
- C:\Windows\System32\ezRlepu.exe
  C:\Windows\System32\ezRlepu.exe
  2⤵
  PID:4344
- C:\Windows\System32\nTEIjnt.exe
  C:\Windows\System32\nTEIjnt.exe
  2⤵
  PID:6132
- C:\Windows\System32\UcphCko.exe
  C:\Windows\System32\UcphCko.exe
  2⤵
  PID:3836
- C:\Windows\System32\arPvxUZ.exe
  C:\Windows\System32\arPvxUZ.exe
  2⤵
  PID:5124
- C:\Windows\System32\oQvzYTL.exe
  C:\Windows\System32\oQvzYTL.exe
  2⤵
  PID:4568
- C:\Windows\System32\XxZgciv.exe
  C:\Windows\System32\XxZgciv.exe
  2⤵
  PID:5168
- C:\Windows\System32\cyhotqy.exe
  C:\Windows\System32\cyhotqy.exe
  2⤵
  PID:5336
- C:\Windows\System32\szMsPzD.exe
  C:\Windows\System32\szMsPzD.exe
  2⤵
  PID:4324
- C:\Windows\System32\lDRcquJ.exe
  C:\Windows\System32\lDRcquJ.exe
  2⤵
  PID:5492
- C:\Windows\System32\XrXYFCr.exe
  C:\Windows\System32\XrXYFCr.exe
  2⤵
  PID:1140
- C:\Windows\System32\tOTGTli.exe
  C:\Windows\System32\tOTGTli.exe
  2⤵
  PID:5700
- C:\Windows\System32\McFVLNE.exe
  C:\Windows\System32\McFVLNE.exe
  2⤵
  PID:5648
- C:\Windows\System32\UiijRFK.exe
  C:\Windows\System32\UiijRFK.exe
  2⤵
  PID:5800
- C:\Windows\System32\mfuvedr.exe
  C:\Windows\System32\mfuvedr.exe
  2⤵
  PID:5956
- C:\Windows\System32\hPNDBFh.exe
  C:\Windows\System32\hPNDBFh.exe
  2⤵
  PID:1476
- C:\Windows\System32\ZKYllie.exe
  C:\Windows\System32\ZKYllie.exe
  2⤵
  PID:5104
- C:\Windows\System32\lGQGlSH.exe
  C:\Windows\System32\lGQGlSH.exe
  2⤵
  PID:5208
- C:\Windows\System32\qFaNTtF.exe
  C:\Windows\System32\qFaNTtF.exe
  2⤵
  PID:3180
- C:\Windows\System32\JESaLqP.exe
  C:\Windows\System32\JESaLqP.exe
  2⤵
  PID:3488
- C:\Windows\System32\DIoFysJ.exe
  C:\Windows\System32\DIoFysJ.exe
  2⤵
  PID:5180
- C:\Windows\System32\qEgwgyi.exe
  C:\Windows\System32\qEgwgyi.exe
  2⤵
  PID:5524
- C:\Windows\System32\NfVvdYy.exe
  C:\Windows\System32\NfVvdYy.exe
  2⤵
  PID:5364
- C:\Windows\System32\REOmcmq.exe
  C:\Windows\System32\REOmcmq.exe
  2⤵
  PID:4916
- C:\Windows\System32\yxKdMqN.exe
  C:\Windows\System32\yxKdMqN.exe
  2⤵
  PID:4936
- C:\Windows\System32\SSAstcp.exe
  C:\Windows\System32\SSAstcp.exe
  2⤵
  PID:6032
- C:\Windows\System32\CaJhORl.exe
  C:\Windows\System32\CaJhORl.exe
  2⤵
  PID:2564
- C:\Windows\System32\SHjQDCn.exe
  C:\Windows\System32\SHjQDCn.exe
  2⤵
  PID:2768
- C:\Windows\System32\YMkDges.exe
  C:\Windows\System32\YMkDges.exe
  2⤵
  PID:5460
- C:\Windows\System32\NJaeahd.exe
  C:\Windows\System32\NJaeahd.exe
  2⤵
  PID:5920
- C:\Windows\System32\lRmLSLZ.exe
  C:\Windows\System32\lRmLSLZ.exe
  2⤵
  PID:5928
- C:\Windows\System32\wcPeUtL.exe
  C:\Windows\System32\wcPeUtL.exe
  2⤵
  PID:5376
- C:\Windows\System32\zMMyxrI.exe
  C:\Windows\System32\zMMyxrI.exe
  2⤵
  PID:6164
- C:\Windows\System32\NYGCiUf.exe
  C:\Windows\System32\NYGCiUf.exe
  2⤵
  PID:6244
- C:\Windows\System32\qBCXMBC.exe
  C:\Windows\System32\qBCXMBC.exe
  2⤵
  PID:6324
- C:\Windows\System32\TWTPahp.exe
  C:\Windows\System32\TWTPahp.exe
  2⤵
  PID:6344
- C:\Windows\System32\pcYvEyf.exe
  C:\Windows\System32\pcYvEyf.exe
  2⤵
  PID:6372
- C:\Windows\System32\sPxCnqu.exe
  C:\Windows\System32\sPxCnqu.exe
  2⤵
  PID:6388
- C:\Windows\System32\XnUPCpl.exe
  C:\Windows\System32\XnUPCpl.exe
  2⤵
  PID:6412
- C:\Windows\System32\sfHnTjC.exe
  C:\Windows\System32\sfHnTjC.exe
  2⤵
  PID:6428
- C:\Windows\System32\CvSeLPa.exe
  C:\Windows\System32\CvSeLPa.exe
  2⤵
  PID:6452
- C:\Windows\System32\vcwkwZQ.exe
  C:\Windows\System32\vcwkwZQ.exe
  2⤵
  PID:6480
- C:\Windows\System32\VjrvqdD.exe
  C:\Windows\System32\VjrvqdD.exe
  2⤵
  PID:6508
- C:\Windows\System32\wrtbJZr.exe
  C:\Windows\System32\wrtbJZr.exe
  2⤵
  PID:6544
- C:\Windows\System32\pxqpsRQ.exe
  C:\Windows\System32\pxqpsRQ.exe
  2⤵
  PID:6560
- C:\Windows\System32\ZIwuodi.exe
  C:\Windows\System32\ZIwuodi.exe
  2⤵
  PID:6620
- C:\Windows\System32\fFepMRx.exe
  C:\Windows\System32\fFepMRx.exe
  2⤵
  PID:6648
- C:\Windows\System32\FUXuzYT.exe
  C:\Windows\System32\FUXuzYT.exe
  2⤵
  PID:6664
- C:\Windows\System32\uTnITvK.exe
  C:\Windows\System32\uTnITvK.exe
  2⤵
  PID:6704
- C:\Windows\System32\xCixLsc.exe
  C:\Windows\System32\xCixLsc.exe
  2⤵
  PID:6728
- C:\Windows\System32\yrDZTwB.exe
  C:\Windows\System32\yrDZTwB.exe
  2⤵
  PID:6748
- C:\Windows\System32\TjSIngr.exe
  C:\Windows\System32\TjSIngr.exe
  2⤵
  PID:6784
- C:\Windows\System32\BejQXXZ.exe
  C:\Windows\System32\BejQXXZ.exe
  2⤵
  PID:6816
- C:\Windows\System32\mzLhoGq.exe
  C:\Windows\System32\mzLhoGq.exe
  2⤵
  PID:6840
- C:\Windows\System32\XlzRDIF.exe
  C:\Windows\System32\XlzRDIF.exe
  2⤵
  PID:6864
- C:\Windows\System32\HNrnosV.exe
  C:\Windows\System32\HNrnosV.exe
  2⤵
  PID:6900
- C:\Windows\System32\gfxEiIx.exe
  C:\Windows\System32\gfxEiIx.exe
  2⤵
  PID:6928
- C:\Windows\System32\sjTvwmT.exe
  C:\Windows\System32\sjTvwmT.exe
  2⤵
  PID:6956
- C:\Windows\System32\hQTLtpm.exe
  C:\Windows\System32\hQTLtpm.exe
  2⤵
  PID:6976
- C:\Windows\System32\epCGvHU.exe
  C:\Windows\System32\epCGvHU.exe
  2⤵
  PID:7004
- C:\Windows\System32\rBpeRjL.exe
  C:\Windows\System32\rBpeRjL.exe
  2⤵
  PID:7028
- C:\Windows\System32\fIDzQvb.exe
  C:\Windows\System32\fIDzQvb.exe
  2⤵
  PID:7048
- C:\Windows\System32\qviPtbe.exe
  C:\Windows\System32\qviPtbe.exe
  2⤵
  PID:7080
- C:\Windows\System32\iDIVpvk.exe
  C:\Windows\System32\iDIVpvk.exe
  2⤵
  PID:7112
- C:\Windows\System32\tictmJQ.exe
  C:\Windows\System32\tictmJQ.exe
  2⤵
  PID:7132
- C:\Windows\System32\RyzvNUb.exe
  C:\Windows\System32\RyzvNUb.exe
  2⤵
  PID:7156
- C:\Windows\System32\HORgiMH.exe
  C:\Windows\System32\HORgiMH.exe
  2⤵
  PID:4932
- C:\Windows\System32\dWHDPUv.exe
  C:\Windows\System32\dWHDPUv.exe
  2⤵
  PID:1872
- C:\Windows\System32\IkJlPYR.exe
  C:\Windows\System32\IkJlPYR.exe
  2⤵
  PID:6232
- C:\Windows\System32\DWSQjxp.exe
  C:\Windows\System32\DWSQjxp.exe
  2⤵
  PID:6272
- C:\Windows\System32\ukUcvBV.exe
  C:\Windows\System32\ukUcvBV.exe
  2⤵
  PID:6308
- C:\Windows\System32\khQTuyN.exe
  C:\Windows\System32\khQTuyN.exe
  2⤵
  PID:6384
- C:\Windows\System32\RFiYIdD.exe
  C:\Windows\System32\RFiYIdD.exe
  2⤵
  PID:6460
- C:\Windows\System32\okeJfbN.exe
  C:\Windows\System32\okeJfbN.exe
  2⤵
  PID:6504
- C:\Windows\System32\kBTrqip.exe
  C:\Windows\System32\kBTrqip.exe
  2⤵
  PID:6600
- C:\Windows\System32\mjqLUwm.exe
  C:\Windows\System32\mjqLUwm.exe
  2⤵
  PID:6612
- C:\Windows\System32\ecJlagA.exe
  C:\Windows\System32\ecJlagA.exe
  2⤵
  PID:6660
- C:\Windows\System32\yOIAQmW.exe
  C:\Windows\System32\yOIAQmW.exe
  2⤵
  PID:6712
- C:\Windows\System32\CdlQEIs.exe
  C:\Windows\System32\CdlQEIs.exe
  2⤵
  PID:6760
- C:\Windows\System32\KzhuEqg.exe
  C:\Windows\System32\KzhuEqg.exe
  2⤵
  PID:6780
- C:\Windows\System32\WDBVoTg.exe
  C:\Windows\System32\WDBVoTg.exe
  2⤵
  PID:6876
- C:\Windows\System32\CAfmhsW.exe
  C:\Windows\System32\CAfmhsW.exe
  2⤵
  PID:6896
- C:\Windows\System32\uOxPRNm.exe
  C:\Windows\System32\uOxPRNm.exe
  2⤵
  PID:7012
- C:\Windows\System32\JxjhaOt.exe
  C:\Windows\System32\JxjhaOt.exe
  2⤵
  PID:5732
- C:\Windows\System32\hRAagDl.exe
  C:\Windows\System32\hRAagDl.exe
  2⤵
  PID:6332
- C:\Windows\System32\PxMgHcs.exe
  C:\Windows\System32\PxMgHcs.exe
  2⤵
  PID:6196
- C:\Windows\System32\PJbNiSJ.exe
  C:\Windows\System32\PJbNiSJ.exe
  2⤵
  PID:6568
- C:\Windows\System32\KGBLouU.exe
  C:\Windows\System32\KGBLouU.exe
  2⤵
  PID:6492
- C:\Windows\System32\vNEmDmz.exe
  C:\Windows\System32\vNEmDmz.exe
  2⤵
  PID:6684
- C:\Windows\System32\sdQCqyB.exe
  C:\Windows\System32\sdQCqyB.exe
  2⤵
  PID:6988
- C:\Windows\System32\WGgFqPd.exe
  C:\Windows\System32\WGgFqPd.exe
  2⤵
  PID:6556
- C:\Windows\System32\bMWArWG.exe
  C:\Windows\System32\bMWArWG.exe
  2⤵
  PID:6992
- C:\Windows\System32\kkyjxSN.exe
  C:\Windows\System32\kkyjxSN.exe
  2⤵
  PID:6808
- C:\Windows\System32\IRcsAGE.exe
  C:\Windows\System32\IRcsAGE.exe
  2⤵
  PID:6500
- C:\Windows\System32\jNjkggi.exe
  C:\Windows\System32\jNjkggi.exe
  2⤵
  PID:6984
- C:\Windows\System32\LLIcvyj.exe
  C:\Windows\System32\LLIcvyj.exe
  2⤵
  PID:7180
- C:\Windows\System32\AldJuIQ.exe
  C:\Windows\System32\AldJuIQ.exe
  2⤵
  PID:7208
- C:\Windows\System32\krlmiQK.exe
  C:\Windows\System32\krlmiQK.exe
  2⤵
  PID:7268
- C:\Windows\System32\RnToXSQ.exe
  C:\Windows\System32\RnToXSQ.exe
  2⤵
  PID:7288
- C:\Windows\System32\lYevgKy.exe
  C:\Windows\System32\lYevgKy.exe
  2⤵
  PID:7312
- C:\Windows\System32\HnkMUUa.exe
  C:\Windows\System32\HnkMUUa.exe
  2⤵
  PID:7332
- C:\Windows\System32\omyrAWi.exe
  C:\Windows\System32\omyrAWi.exe
  2⤵
  PID:7360
- C:\Windows\System32\RdcdTdI.exe
  C:\Windows\System32\RdcdTdI.exe
  2⤵
  PID:7380
- C:\Windows\System32\bpBnfjC.exe
  C:\Windows\System32\bpBnfjC.exe
  2⤵
  PID:7396
- C:\Windows\System32\fJwPStE.exe
  C:\Windows\System32\fJwPStE.exe
  2⤵
  PID:7420
- C:\Windows\System32\ULMNnEX.exe
  C:\Windows\System32\ULMNnEX.exe
  2⤵
  PID:7476
- C:\Windows\System32\LisaejI.exe
  C:\Windows\System32\LisaejI.exe
  2⤵
  PID:7496
- C:\Windows\System32\vhblpKj.exe
  C:\Windows\System32\vhblpKj.exe
  2⤵
  PID:7516
- C:\Windows\System32\pMRnIHo.exe
  C:\Windows\System32\pMRnIHo.exe
  2⤵
  PID:7540
- C:\Windows\System32\WQZgLDO.exe
  C:\Windows\System32\WQZgLDO.exe
  2⤵
  PID:7568
- C:\Windows\System32\dsghCap.exe
  C:\Windows\System32\dsghCap.exe
  2⤵
  PID:7616
- C:\Windows\System32\TdUUkAl.exe
  C:\Windows\System32\TdUUkAl.exe
  2⤵
  PID:7648
- C:\Windows\System32\KqCFpSs.exe
  C:\Windows\System32\KqCFpSs.exe
  2⤵
  PID:7676
- C:\Windows\System32\igZkUiB.exe
  C:\Windows\System32\igZkUiB.exe
  2⤵
  PID:7696
- C:\Windows\System32\RTWdBvW.exe
  C:\Windows\System32\RTWdBvW.exe
  2⤵
  PID:7720
- C:\Windows\System32\ogQyaRy.exe
  C:\Windows\System32\ogQyaRy.exe
  2⤵
  PID:7748
- C:\Windows\System32\VYEXvpk.exe
  C:\Windows\System32\VYEXvpk.exe
  2⤵
  PID:7768
- C:\Windows\System32\gpuhxGS.exe
  C:\Windows\System32\gpuhxGS.exe
  2⤵
  PID:7796
- C:\Windows\System32\wHSmhTq.exe
  C:\Windows\System32\wHSmhTq.exe
  2⤵
  PID:7816
- C:\Windows\System32\KuedwXQ.exe
  C:\Windows\System32\KuedwXQ.exe
  2⤵
  PID:7832
- C:\Windows\System32\FcbQOJQ.exe
  C:\Windows\System32\FcbQOJQ.exe
  2⤵
  PID:7872
- C:\Windows\System32\MsRSMUj.exe
  C:\Windows\System32\MsRSMUj.exe
  2⤵
  PID:7928
- C:\Windows\System32\aNkWvZG.exe
  C:\Windows\System32\aNkWvZG.exe
  2⤵
  PID:7980
- C:\Windows\System32\tDATOhH.exe
  C:\Windows\System32\tDATOhH.exe
  2⤵
  PID:7996
- C:\Windows\System32\qxuvGex.exe
  C:\Windows\System32\qxuvGex.exe
  2⤵
  PID:8036
- C:\Windows\System32\MiNKSDL.exe
  C:\Windows\System32\MiNKSDL.exe
  2⤵
  PID:8056
- C:\Windows\System32\GECVnyT.exe
  C:\Windows\System32\GECVnyT.exe
  2⤵
  PID:8084
- C:\Windows\System32\ioDjCuK.exe
  C:\Windows\System32\ioDjCuK.exe
  2⤵
  PID:8108
- C:\Windows\System32\pxrdfRY.exe
  C:\Windows\System32\pxrdfRY.exe
  2⤵
  PID:8124
- C:\Windows\System32\HdHVRgL.exe
  C:\Windows\System32\HdHVRgL.exe
  2⤵
  PID:8172
- C:\Windows\System32\IbSXtcm.exe
  C:\Windows\System32\IbSXtcm.exe
  2⤵
  PID:7296
- C:\Windows\System32\KQyEyOS.exe
  C:\Windows\System32\KQyEyOS.exe
  2⤵
  PID:7416
- C:\Windows\System32\roDddPG.exe
  C:\Windows\System32\roDddPG.exe
  2⤵
  PID:7484
- C:\Windows\System32\IaEVefc.exe
  C:\Windows\System32\IaEVefc.exe
  2⤵
  PID:7556
- C:\Windows\System32\YuQBVGK.exe
  C:\Windows\System32\YuQBVGK.exe
  2⤵
  PID:7528
- C:\Windows\System32\aCGwDWR.exe
  C:\Windows\System32\aCGwDWR.exe
  2⤵
  PID:7508
- C:\Windows\System32\PqtYQfe.exe
  C:\Windows\System32\PqtYQfe.exe
  2⤵
  PID:7664
- C:\Windows\System32\rJdreBP.exe
  C:\Windows\System32\rJdreBP.exe
  2⤵
  PID:7704
- C:\Windows\System32\XOddYSd.exe
  C:\Windows\System32\XOddYSd.exe
  2⤵
  PID:7776
- C:\Windows\System32\zrDVEAi.exe
  C:\Windows\System32\zrDVEAi.exe
  2⤵
  PID:7764
- C:\Windows\System32\KKvzmOR.exe
  C:\Windows\System32\KKvzmOR.exe
  2⤵
  PID:7840
- C:\Windows\System32\SlFbLTP.exe
  C:\Windows\System32\SlFbLTP.exe
  2⤵
  PID:7852
- C:\Windows\System32\SqylNHQ.exe
  C:\Windows\System32\SqylNHQ.exe
  2⤵
  PID:7884
- C:\Windows\System32\dBAgTct.exe
  C:\Windows\System32\dBAgTct.exe
  2⤵
  PID:7976
- C:\Windows\System32\UreyNlN.exe
  C:\Windows\System32\UreyNlN.exe
  2⤵
  PID:8008
- C:\Windows\System32\cySnfLs.exe
  C:\Windows\System32\cySnfLs.exe
  2⤵
  PID:4652
- C:\Windows\System32\AOuTnEZ.exe
  C:\Windows\System32\AOuTnEZ.exe
  2⤵
  PID:7256
- C:\Windows\System32\WuhBukx.exe
  C:\Windows\System32\WuhBukx.exe
  2⤵
  PID:7236
- C:\Windows\System32\uckBSXH.exe
  C:\Windows\System32\uckBSXH.exe
  2⤵
  PID:7392
- C:\Windows\System32\pgEEOKI.exe
  C:\Windows\System32\pgEEOKI.exe
  2⤵
  PID:7824
- C:\Windows\System32\UGvcBPM.exe
  C:\Windows\System32\UGvcBPM.exe
  2⤵
  PID:7744
- C:\Windows\System32\UxMObJw.exe
  C:\Windows\System32\UxMObJw.exe
  2⤵
  PID:8072
- C:\Windows\System32\jOCYoIw.exe
  C:\Windows\System32\jOCYoIw.exe
  2⤵
  PID:8136
- C:\Windows\System32\lwlVGnp.exe
  C:\Windows\System32\lwlVGnp.exe
  2⤵
  PID:7404
- C:\Windows\System32\toiXGBE.exe
  C:\Windows\System32\toiXGBE.exe
  2⤵
  PID:7532
- C:\Windows\System32\EMDhdWI.exe
  C:\Windows\System32\EMDhdWI.exe
  2⤵
  PID:7624
- C:\Windows\System32\DOXJpNY.exe
  C:\Windows\System32\DOXJpNY.exe
  2⤵
  PID:320
- C:\Windows\System32\gRedeGp.exe
  C:\Windows\System32\gRedeGp.exe
  2⤵
  PID:7344
- C:\Windows\System32\WwGmuyz.exe
  C:\Windows\System32\WwGmuyz.exe
  2⤵
  PID:7172
- C:\Windows\System32\PYtJmcb.exe
  C:\Windows\System32\PYtJmcb.exe
  2⤵
  PID:7436
- C:\Windows\System32\OqvleLU.exe
  C:\Windows\System32\OqvleLU.exe
  2⤵
  PID:8200
- C:\Windows\System32\SCafUJI.exe
  C:\Windows\System32\SCafUJI.exe
  2⤵
  PID:8216
- C:\Windows\System32\hrnIWic.exe
  C:\Windows\System32\hrnIWic.exe
  2⤵
  PID:8236
- C:\Windows\System32\CupzcAr.exe
  C:\Windows\System32\CupzcAr.exe
  2⤵
  PID:8256
- C:\Windows\System32\nzHkQFK.exe
  C:\Windows\System32\nzHkQFK.exe
  2⤵
  PID:8276
- C:\Windows\System32\eiZLZxY.exe
  C:\Windows\System32\eiZLZxY.exe
  2⤵
  PID:8296
- C:\Windows\System32\vchspHP.exe
  C:\Windows\System32\vchspHP.exe
  2⤵
  PID:8316
- C:\Windows\System32\wIOysjL.exe
  C:\Windows\System32\wIOysjL.exe
  2⤵
  PID:8344
- C:\Windows\System32\cWwRuUp.exe
  C:\Windows\System32\cWwRuUp.exe
  2⤵
  PID:8376
- C:\Windows\System32\eBmThFB.exe
  C:\Windows\System32\eBmThFB.exe
  2⤵
  PID:8412
- C:\Windows\System32\vvwvaQK.exe
  C:\Windows\System32\vvwvaQK.exe
  2⤵
  PID:8472
- C:\Windows\System32\JXqDMmi.exe
  C:\Windows\System32\JXqDMmi.exe
  2⤵
  PID:8500
- C:\Windows\System32\swXWANC.exe
  C:\Windows\System32\swXWANC.exe
  2⤵
  PID:8528
- C:\Windows\System32\ldatSsQ.exe
  C:\Windows\System32\ldatSsQ.exe
  2⤵
  PID:8548
- C:\Windows\System32\DrjvdEZ.exe
  C:\Windows\System32\DrjvdEZ.exe
  2⤵
  PID:8572
- C:\Windows\System32\rzpxVXY.exe
  C:\Windows\System32\rzpxVXY.exe
  2⤵
  PID:8592
- C:\Windows\System32\hQSWtPY.exe
  C:\Windows\System32\hQSWtPY.exe
  2⤵
  PID:8620
- C:\Windows\System32\oVVvHTA.exe
  C:\Windows\System32\oVVvHTA.exe
  2⤵
  PID:8644
- C:\Windows\System32\SZLOvyZ.exe
  C:\Windows\System32\SZLOvyZ.exe
  2⤵
  PID:8700
- C:\Windows\System32\EkbwUPA.exe
  C:\Windows\System32\EkbwUPA.exe
  2⤵
  PID:8740
- C:\Windows\System32\nIViDqI.exe
  C:\Windows\System32\nIViDqI.exe
  2⤵
  PID:8756
- C:\Windows\System32\zlLEClo.exe
  C:\Windows\System32\zlLEClo.exe
  2⤵
  PID:8780
- C:\Windows\System32\KgiXNMO.exe
  C:\Windows\System32\KgiXNMO.exe
  2⤵
  PID:8812
- C:\Windows\System32\kcgNbKg.exe
  C:\Windows\System32\kcgNbKg.exe
  2⤵
  PID:8832
- C:\Windows\System32\JQuMRIX.exe
  C:\Windows\System32\JQuMRIX.exe
  2⤵
  PID:8864
- C:\Windows\System32\zMlFvPK.exe
  C:\Windows\System32\zMlFvPK.exe
  2⤵
  PID:8892
- C:\Windows\System32\aLLUxBm.exe
  C:\Windows\System32\aLLUxBm.exe
  2⤵
  PID:8912
- C:\Windows\System32\MdjMXpJ.exe
  C:\Windows\System32\MdjMXpJ.exe
  2⤵
  PID:8948
- C:\Windows\System32\jyfDvhI.exe
  C:\Windows\System32\jyfDvhI.exe
  2⤵
  PID:8996
- C:\Windows\System32\civswWl.exe
  C:\Windows\System32\civswWl.exe
  2⤵
  PID:9048
- C:\Windows\System32\qpjbjwf.exe
  C:\Windows\System32\qpjbjwf.exe
  2⤵
  PID:9084
- C:\Windows\System32\LGCKLVy.exe
  C:\Windows\System32\LGCKLVy.exe
  2⤵
  PID:9100
- C:\Windows\System32\AbzttSo.exe
  C:\Windows\System32\AbzttSo.exe
  2⤵
  PID:9120
- C:\Windows\System32\yvsgoCz.exe
  C:\Windows\System32\yvsgoCz.exe
  2⤵
  PID:9148
- C:\Windows\System32\AFyIYMS.exe
  C:\Windows\System32\AFyIYMS.exe
  2⤵
  PID:9172
- C:\Windows\System32\wVmHvFw.exe
  C:\Windows\System32\wVmHvFw.exe
  2⤵
  PID:8020
- C:\Windows\System32\ZAMYXyh.exe
  C:\Windows\System32\ZAMYXyh.exe
  2⤵
  PID:8228
- C:\Windows\System32\vTtApgA.exe
  C:\Windows\System32\vTtApgA.exe
  2⤵
  PID:8292
- C:\Windows\System32\DElWIgu.exe
  C:\Windows\System32\DElWIgu.exe
  2⤵
  PID:8384
- C:\Windows\System32\OsHAomz.exe
  C:\Windows\System32\OsHAomz.exe
  2⤵
  PID:8456
- C:\Windows\System32\kTdsdUh.exe
  C:\Windows\System32\kTdsdUh.exe
  2⤵
  PID:8396
- C:\Windows\System32\PlVqPFl.exe
  C:\Windows\System32\PlVqPFl.exe
  2⤵
  PID:8556
- C:\Windows\System32\QIXimea.exe
  C:\Windows\System32\QIXimea.exe
  2⤵
  PID:8600
- C:\Windows\System32\bLsvZiQ.exe
  C:\Windows\System32\bLsvZiQ.exe
  2⤵
  PID:8720
- C:\Windows\System32\khsMOEn.exe
  C:\Windows\System32\khsMOEn.exe
  2⤵
  PID:8776
- C:\Windows\System32\AJZhSoe.exe
  C:\Windows\System32\AJZhSoe.exe
  2⤵
  PID:8808
- C:\Windows\System32\rLfGzNX.exe
  C:\Windows\System32\rLfGzNX.exe
  2⤵
  PID:8872
- C:\Windows\System32\iEyYaxf.exe
  C:\Windows\System32\iEyYaxf.exe
  2⤵
  PID:8928
- C:\Windows\System32\GwFwQBV.exe
  C:\Windows\System32\GwFwQBV.exe
  2⤵
  PID:8932
- C:\Windows\System32\ynOoMRR.exe
  C:\Windows\System32\ynOoMRR.exe
  2⤵
  PID:8972
- C:\Windows\System32\ICLyJOE.exe
  C:\Windows\System32\ICLyJOE.exe
  2⤵
  PID:9164
- C:\Windows\System32\nPwOsaZ.exe
  C:\Windows\System32\nPwOsaZ.exe
  2⤵
  PID:9184
- C:\Windows\System32\hkSHIae.exe
  C:\Windows\System32\hkSHIae.exe
  2⤵
  PID:8268
- C:\Windows\System32\ulXJFUI.exe
  C:\Windows\System32\ulXJFUI.exe
  2⤵
  PID:8432
- C:\Windows\System32\pvfTWwC.exe
  C:\Windows\System32\pvfTWwC.exe
  2⤵
  PID:8608
- C:\Windows\System32\pOSTXjV.exe
  C:\Windows\System32\pOSTXjV.exe
  2⤵
  PID:8668
- C:\Windows\System32\EGKrvgV.exe
  C:\Windows\System32\EGKrvgV.exe
  2⤵
  PID:8900
- C:\Windows\System32\CWrVTNX.exe
  C:\Windows\System32\CWrVTNX.exe
  2⤵
  PID:8956
- C:\Windows\System32\OrAEWqP.exe
  C:\Windows\System32\OrAEWqP.exe
  2⤵
  PID:8960
- C:\Windows\System32\NXNfZBZ.exe
  C:\Windows\System32\NXNfZBZ.exe
  2⤵
  PID:8288
- C:\Windows\System32\TiriiTz.exe
  C:\Windows\System32\TiriiTz.exe
  2⤵
  PID:8588
- C:\Windows\System32\PYPMsNL.exe
  C:\Windows\System32\PYPMsNL.exe
  2⤵
  PID:8748
- C:\Windows\System32\gOdlFOf.exe
  C:\Windows\System32\gOdlFOf.exe
  2⤵
  PID:9192
- C:\Windows\System32\arhAdIy.exe
  C:\Windows\System32\arhAdIy.exe
  2⤵
  PID:5028
- C:\Windows\System32\QmWJITb.exe
  C:\Windows\System32\QmWJITb.exe
  2⤵
  PID:9256
- C:\Windows\System32\dAXFUDF.exe
  C:\Windows\System32\dAXFUDF.exe
  2⤵
  PID:9276
- C:\Windows\System32\AgjDSqY.exe
  C:\Windows\System32\AgjDSqY.exe
  2⤵
  PID:9292
- C:\Windows\System32\wzmQWZa.exe
  C:\Windows\System32\wzmQWZa.exe
  2⤵
  PID:9328
- C:\Windows\System32\SttPkCH.exe
  C:\Windows\System32\SttPkCH.exe
  2⤵
  PID:9348
- C:\Windows\System32\rwYhGFS.exe
  C:\Windows\System32\rwYhGFS.exe
  2⤵
  PID:9372
- C:\Windows\System32\WhDYyGU.exe
  C:\Windows\System32\WhDYyGU.exe
  2⤵
  PID:9416
- C:\Windows\System32\riXTRjB.exe
  C:\Windows\System32\riXTRjB.exe
  2⤵
  PID:9444
- C:\Windows\System32\KzVQJVV.exe
  C:\Windows\System32\KzVQJVV.exe
  2⤵
  PID:9460
- C:\Windows\System32\XDcuhHS.exe
  C:\Windows\System32\XDcuhHS.exe
  2⤵
  PID:9496
- C:\Windows\System32\pazPemC.exe
  C:\Windows\System32\pazPemC.exe
  2⤵
  PID:9532
- C:\Windows\System32\cJihgeY.exe
  C:\Windows\System32\cJihgeY.exe
  2⤵
  PID:9548
- C:\Windows\System32\mmEFcqN.exe
  C:\Windows\System32\mmEFcqN.exe
  2⤵
  PID:9604
- C:\Windows\System32\ycqcukz.exe
  C:\Windows\System32\ycqcukz.exe
  2⤵
  PID:9644
- C:\Windows\System32\VRecHJr.exe
  C:\Windows\System32\VRecHJr.exe
  2⤵
  PID:9664
- C:\Windows\System32\NkQJitB.exe
  C:\Windows\System32\NkQJitB.exe
  2⤵
  PID:9680
- C:\Windows\System32\penfAOo.exe
  C:\Windows\System32\penfAOo.exe
  2⤵
  PID:9708
- C:\Windows\System32\SyKitZX.exe
  C:\Windows\System32\SyKitZX.exe
  2⤵
  PID:9748
- C:\Windows\System32\OdXDmJR.exe
  C:\Windows\System32\OdXDmJR.exe
  2⤵
  PID:9772
- C:\Windows\System32\NdmvfDl.exe
  C:\Windows\System32\NdmvfDl.exe
  2⤵
  PID:9792
- C:\Windows\System32\jlWLDOF.exe
  C:\Windows\System32\jlWLDOF.exe
  2⤵
  PID:9812
- C:\Windows\System32\RiPdfZb.exe
  C:\Windows\System32\RiPdfZb.exe
  2⤵
  PID:9844
- C:\Windows\System32\HIDRADW.exe
  C:\Windows\System32\HIDRADW.exe
  2⤵
  PID:9864
- C:\Windows\System32\rsdgTgR.exe
  C:\Windows\System32\rsdgTgR.exe
  2⤵
  PID:9884
- C:\Windows\System32\SYSppYV.exe
  C:\Windows\System32\SYSppYV.exe
  2⤵
  PID:9904
- C:\Windows\System32\HUGJLEU.exe
  C:\Windows\System32\HUGJLEU.exe
  2⤵
  PID:9952
- C:\Windows\System32\MweQXYs.exe
  C:\Windows\System32\MweQXYs.exe
  2⤵
  PID:9996
- C:\Windows\System32\DSPmuKR.exe
  C:\Windows\System32\DSPmuKR.exe
  2⤵
  PID:10020
- C:\Windows\System32\nAPBMvA.exe
  C:\Windows\System32\nAPBMvA.exe
  2⤵
  PID:10044
- C:\Windows\System32\dLwtuiz.exe
  C:\Windows\System32\dLwtuiz.exe
  2⤵
  PID:10072
- C:\Windows\System32\TdxTKKL.exe
  C:\Windows\System32\TdxTKKL.exe
  2⤵
  PID:10096
- C:\Windows\System32\LxHdoQW.exe
  C:\Windows\System32\LxHdoQW.exe
  2⤵
  PID:10132
- C:\Windows\System32\sRpGWNO.exe
  C:\Windows\System32\sRpGWNO.exe
  2⤵
  PID:10164
- C:\Windows\System32\pNvQBdN.exe
  C:\Windows\System32\pNvQBdN.exe
  2⤵
  PID:10192
- C:\Windows\System32\SSFRPHP.exe
  C:\Windows\System32\SSFRPHP.exe
  2⤵
  PID:10212
- C:\Windows\System32\iubKuup.exe
  C:\Windows\System32\iubKuup.exe
  2⤵
  PID:8408
- C:\Windows\System32\sboWphk.exe
  C:\Windows\System32\sboWphk.exe
  2⤵
  PID:9228
- C:\Windows\System32\FqNGEOh.exe
  C:\Windows\System32\FqNGEOh.exe
  2⤵
  PID:9288
- C:\Windows\System32\dqgQGop.exe
  C:\Windows\System32\dqgQGop.exe
  2⤵
  PID:9344
- C:\Windows\System32\sFnSVJB.exe
  C:\Windows\System32\sFnSVJB.exe
  2⤵
  PID:9432
- C:\Windows\System32\WITulGa.exe
  C:\Windows\System32\WITulGa.exe
  2⤵
  PID:9520
- C:\Windows\System32\KtGtaGl.exe
  C:\Windows\System32\KtGtaGl.exe
  2⤵
  PID:9544
- C:\Windows\System32\XDIpcZE.exe
  C:\Windows\System32\XDIpcZE.exe
  2⤵
  PID:9612
- C:\Windows\System32\haPyJGa.exe
  C:\Windows\System32\haPyJGa.exe
  2⤵
  PID:9652
- C:\Windows\System32\syRgyNS.exe
  C:\Windows\System32\syRgyNS.exe
  2⤵
  PID:9692
- C:\Windows\System32\NzkJhsF.exe
  C:\Windows\System32\NzkJhsF.exe
  2⤵
  PID:9820
- C:\Windows\System32\LPhVsUt.exe
  C:\Windows\System32\LPhVsUt.exe
  2⤵
  PID:9860
- C:\Windows\System32\hhfXVly.exe
  C:\Windows\System32\hhfXVly.exe
  2⤵
  PID:9916
- C:\Windows\System32\gsxGJeI.exe
  C:\Windows\System32\gsxGJeI.exe
  2⤵
  PID:9948
- C:\Windows\System32\oscuqbq.exe
  C:\Windows\System32\oscuqbq.exe
  2⤵
  PID:10040
- C:\Windows\System32\CVTUQlE.exe
  C:\Windows\System32\CVTUQlE.exe
  2⤵
  PID:10144
- C:\Windows\System32\PDVHpfg.exe
  C:\Windows\System32\PDVHpfg.exe
  2⤵
  PID:10204
- C:\Windows\System32\vCMXjUN.exe
  C:\Windows\System32\vCMXjUN.exe
  2⤵
  PID:9252
- C:\Windows\System32\pnBuIRt.exe
  C:\Windows\System32\pnBuIRt.exe
  2⤵
  PID:9368
- C:\Windows\System32\rwlbVMj.exe
  C:\Windows\System32\rwlbVMj.exe
  2⤵
  PID:9340
- C:\Windows\System32\bNCTgFC.exe
  C:\Windows\System32\bNCTgFC.exe
  2⤵
  PID:1580
- C:\Windows\System32\oFuaFFo.exe
  C:\Windows\System32\oFuaFFo.exe
  2⤵
  PID:9616
- C:\Windows\System32\EgmFDAM.exe
  C:\Windows\System32\EgmFDAM.exe
  2⤵
  PID:9808
- C:\Windows\System32\NIoMqHD.exe
  C:\Windows\System32\NIoMqHD.exe
  2⤵
  PID:9852
- C:\Windows\System32\SGDJXhu.exe
  C:\Windows\System32\SGDJXhu.exe
  2⤵
  PID:10088
- C:\Windows\System32\OIKRHOo.exe
  C:\Windows\System32\OIKRHOo.exe
  2⤵
  PID:9424
- C:\Windows\System32\UIIunQG.exe
  C:\Windows\System32\UIIunQG.exe
  2⤵
  PID:9900
- C:\Windows\System32\uRWQSwS.exe
  C:\Windows\System32\uRWQSwS.exe
  2⤵
  PID:10092
- C:\Windows\System32\qAMhwFd.exe
  C:\Windows\System32\qAMhwFd.exe
  2⤵
  PID:10124
- C:\Windows\System32\CWCHQtd.exe
  C:\Windows\System32\CWCHQtd.exe
  2⤵
  PID:10256
- C:\Windows\System32\ICuHmTZ.exe
  C:\Windows\System32\ICuHmTZ.exe
  2⤵
  PID:10276
- C:\Windows\System32\BjSZBpq.exe
  C:\Windows\System32\BjSZBpq.exe
  2⤵
  PID:10340
- C:\Windows\System32\OMLpabl.exe
  C:\Windows\System32\OMLpabl.exe
  2⤵
  PID:10356
- C:\Windows\System32\TofsBPB.exe
  C:\Windows\System32\TofsBPB.exe
  2⤵
  PID:10392
- C:\Windows\System32\lDqWHXq.exe
  C:\Windows\System32\lDqWHXq.exe
  2⤵
  PID:10428
- C:\Windows\System32\hbmYxbx.exe
  C:\Windows\System32\hbmYxbx.exe
  2⤵
  PID:10452
- C:\Windows\System32\IZabOqk.exe
  C:\Windows\System32\IZabOqk.exe
  2⤵
  PID:10472
- C:\Windows\System32\gzvYuAM.exe
  C:\Windows\System32\gzvYuAM.exe
  2⤵
  PID:10488
- C:\Windows\System32\ldQOMku.exe
  C:\Windows\System32\ldQOMku.exe
  2⤵
  PID:10524
- C:\Windows\System32\uzVlynO.exe
  C:\Windows\System32\uzVlynO.exe
  2⤵
  PID:10544
- C:\Windows\System32\IyzRTVx.exe
  C:\Windows\System32\IyzRTVx.exe
  2⤵
  PID:10588
- C:\Windows\System32\ZGMaAkN.exe
  C:\Windows\System32\ZGMaAkN.exe
  2⤵
  PID:10628
- C:\Windows\System32\pxZNxYv.exe
  C:\Windows\System32\pxZNxYv.exe
  2⤵
  PID:10656
- C:\Windows\System32\AsbDjjt.exe
  C:\Windows\System32\AsbDjjt.exe
  2⤵
  PID:10684
- C:\Windows\System32\pynTHEy.exe
  C:\Windows\System32\pynTHEy.exe
  2⤵
  PID:10712
- C:\Windows\System32\VAiiMav.exe
  C:\Windows\System32\VAiiMav.exe
  2⤵
  PID:10736
- C:\Windows\System32\MzUjhcl.exe
  C:\Windows\System32\MzUjhcl.exe
  2⤵
  PID:10760
- C:\Windows\System32\bGTqkTu.exe
  C:\Windows\System32\bGTqkTu.exe
  2⤵
  PID:10780
- C:\Windows\System32\yxfnlwF.exe
  C:\Windows\System32\yxfnlwF.exe
  2⤵
  PID:10804
- C:\Windows\System32\lPhnjfD.exe
  C:\Windows\System32\lPhnjfD.exe
  2⤵
  PID:10824
- C:\Windows\System32\NZftQYP.exe
  C:\Windows\System32\NZftQYP.exe
  2⤵
  PID:10864
- C:\Windows\System32\JJtLIjQ.exe
  C:\Windows\System32\JJtLIjQ.exe
  2⤵
  PID:10900
- C:\Windows\System32\NZlNMWg.exe
  C:\Windows\System32\NZlNMWg.exe
  2⤵
  PID:10920
- C:\Windows\System32\HDbPTHG.exe
  C:\Windows\System32\HDbPTHG.exe
  2⤵
  PID:10948
- C:\Windows\System32\CIwSCuB.exe
  C:\Windows\System32\CIwSCuB.exe
  2⤵
  PID:10972
- C:\Windows\System32\YhprWrv.exe
  C:\Windows\System32\YhprWrv.exe
  2⤵
  PID:11004
- C:\Windows\System32\OfVssBJ.exe
  C:\Windows\System32\OfVssBJ.exe
  2⤵
  PID:11028
- C:\Windows\System32\xwWyxet.exe
  C:\Windows\System32\xwWyxet.exe
  2⤵
  PID:11056
- C:\Windows\System32\tKvkNNm.exe
  C:\Windows\System32\tKvkNNm.exe
  2⤵
  PID:11076
- C:\Windows\System32\jJMumeO.exe
  C:\Windows\System32\jJMumeO.exe
  2⤵
  PID:11100
- C:\Windows\System32\wPLmhmk.exe
  C:\Windows\System32\wPLmhmk.exe
  2⤵
  PID:11120
- C:\Windows\System32\sXQwhSU.exe
  C:\Windows\System32\sXQwhSU.exe
  2⤵
  PID:11140
- C:\Windows\System32\IPGtZWP.exe
  C:\Windows\System32\IPGtZWP.exe
  2⤵
  PID:11172
- C:\Windows\System32\CzojbWZ.exe
  C:\Windows\System32\CzojbWZ.exe
  2⤵
  PID:11232
- C:\Windows\System32\cvpGHtp.exe
  C:\Windows\System32\cvpGHtp.exe
  2⤵
  PID:11252
- C:\Windows\System32\izPPLnt.exe
  C:\Windows\System32\izPPLnt.exe
  2⤵
  PID:10288
- C:\Windows\System32\IShSrKo.exe
  C:\Windows\System32\IShSrKo.exe
  2⤵
  PID:10380
- C:\Windows\System32\srAzySM.exe
  C:\Windows\System32\srAzySM.exe
  2⤵
  PID:10416
- C:\Windows\System32\EKmPSwN.exe
  C:\Windows\System32\EKmPSwN.exe
  2⤵
  PID:10468
- C:\Windows\System32\TMtLDtH.exe
  C:\Windows\System32\TMtLDtH.exe
  2⤵
  PID:10484
- C:\Windows\System32\mUhJTRR.exe
  C:\Windows\System32\mUhJTRR.exe
  2⤵
  PID:10540
- C:\Windows\System32\lkovqQL.exe
  C:\Windows\System32\lkovqQL.exe
  2⤵
  PID:10680
- C:\Windows\System32\epyWebz.exe
  C:\Windows\System32\epyWebz.exe
  2⤵
  PID:10720
- C:\Windows\System32\TZZHiSn.exe
  C:\Windows\System32\TZZHiSn.exe
  2⤵
  PID:10776
- C:\Windows\System32\PCjsRMO.exe
  C:\Windows\System32\PCjsRMO.exe
  2⤵
  PID:10848
- C:\Windows\System32\UjxQPtr.exe
  C:\Windows\System32\UjxQPtr.exe
  2⤵
  PID:10928
- C:\Windows\System32\OIwldhe.exe
  C:\Windows\System32\OIwldhe.exe
  2⤵
  PID:10988
- C:\Windows\System32\eXiEJtn.exe
  C:\Windows\System32\eXiEJtn.exe
  2⤵
  PID:11016
- C:\Windows\System32\GlucfcF.exe
  C:\Windows\System32\GlucfcF.exe
  2⤵
  PID:11068
- C:\Windows\System32\jxKIavy.exe
  C:\Windows\System32\jxKIavy.exe
  2⤵
  PID:11160
- C:\Windows\System32\gSetIBi.exe
  C:\Windows\System32\gSetIBi.exe
  2⤵
  PID:11240
- C:\Windows\System32\WRxWFCG.exe
  C:\Windows\System32\WRxWFCG.exe
  2⤵
  PID:10272
- C:\Windows\System32\iuKpQRk.exe
  C:\Windows\System32\iuKpQRk.exe
  2⤵
  PID:10388
- C:\Windows\System32\NUIEfpf.exe
  C:\Windows\System32\NUIEfpf.exe
  2⤵
  PID:10620
- C:\Windows\System32\QhaSgfd.exe
  C:\Windows\System32\QhaSgfd.exe
  2⤵
  PID:10840
- C:\Windows\System32\JMAyYAH.exe
  C:\Windows\System32\JMAyYAH.exe
  2⤵
  PID:11036
- C:\Windows\System32\aBbqMWR.exe
  C:\Windows\System32\aBbqMWR.exe
  2⤵
  PID:11224
- C:\Windows\System32\WDMCaMg.exe
  C:\Windows\System32\WDMCaMg.exe
  2⤵
  PID:10284
- C:\Windows\System32\HZvsEyN.exe
  C:\Windows\System32\HZvsEyN.exe
  2⤵
  PID:10700
- C:\Windows\System32\rrdHZTx.exe
  C:\Windows\System32\rrdHZTx.exe
  2⤵
  PID:11024
- C:\Windows\System32\eqXnZPh.exe
  C:\Windows\System32\eqXnZPh.exe
  2⤵
  PID:10252
- C:\Windows\System32\pnwcCbN.exe
  C:\Windows\System32\pnwcCbN.exe
  2⤵
  PID:10940
- C:\Windows\System32\FOmOclt.exe
  C:\Windows\System32\FOmOclt.exe
  2⤵
  PID:11288
- C:\Windows\System32\wFHkywO.exe
  C:\Windows\System32\wFHkywO.exe
  2⤵
  PID:11312
- C:\Windows\System32\Tgeeutc.exe
  C:\Windows\System32\Tgeeutc.exe
  2⤵
  PID:11332
- C:\Windows\System32\gzMpQEJ.exe
  C:\Windows\System32\gzMpQEJ.exe
  2⤵
  PID:11364
- C:\Windows\System32\QsibgyX.exe
  C:\Windows\System32\QsibgyX.exe
  2⤵
  PID:11380
- C:\Windows\System32\GdzTVHw.exe
  C:\Windows\System32\GdzTVHw.exe
  2⤵
  PID:11404
- C:\Windows\System32\VxLmEGL.exe
  C:\Windows\System32\VxLmEGL.exe
  2⤵
  PID:11432
- C:\Windows\System32\XoWFKWx.exe
  C:\Windows\System32\XoWFKWx.exe
  2⤵
  PID:11448
- C:\Windows\System32\zRdZwtc.exe
  C:\Windows\System32\zRdZwtc.exe
  2⤵
  PID:11468
- C:\Windows\System32\VfWUFFL.exe
  C:\Windows\System32\VfWUFFL.exe
  2⤵
  PID:11496
- C:\Windows\System32\PehucBm.exe
  C:\Windows\System32\PehucBm.exe
  2⤵
  PID:11516
- C:\Windows\System32\QBjyibY.exe
  C:\Windows\System32\QBjyibY.exe
  2⤵
  PID:11552
- C:\Windows\System32\XzVxIRq.exe
  C:\Windows\System32\XzVxIRq.exe
  2⤵
  PID:11572
- C:\Windows\System32\qXvuQkG.exe
  C:\Windows\System32\qXvuQkG.exe
  2⤵
  PID:11612
- C:\Windows\System32\fTzaBwN.exe
  C:\Windows\System32\fTzaBwN.exe
  2⤵
  PID:11660
- C:\Windows\System32\GVBmRWe.exe
  C:\Windows\System32\GVBmRWe.exe
  2⤵
  PID:11708
- C:\Windows\System32\MlZoNud.exe
  C:\Windows\System32\MlZoNud.exe
  2⤵
  PID:11728
- C:\Windows\System32\hNBtvwp.exe
  C:\Windows\System32\hNBtvwp.exe
  2⤵
  PID:11748
- C:\Windows\System32\OkzUWFa.exe
  C:\Windows\System32\OkzUWFa.exe
  2⤵
  PID:11768
- C:\Windows\System32\uJpjbdA.exe
  C:\Windows\System32\uJpjbdA.exe
  2⤵
  PID:11792
- C:\Windows\System32\zklvhvh.exe
  C:\Windows\System32\zklvhvh.exe
  2⤵
  PID:11816
- C:\Windows\System32\dsXVITL.exe
  C:\Windows\System32\dsXVITL.exe
  2⤵
  PID:11916
- C:\Windows\System32\ryqfSCI.exe
  C:\Windows\System32\ryqfSCI.exe
  2⤵
  PID:11932
- C:\Windows\System32\nVZeaRW.exe
  C:\Windows\System32\nVZeaRW.exe
  2⤵
  PID:11956
- C:\Windows\System32\BAdtkwr.exe
  C:\Windows\System32\BAdtkwr.exe
  2⤵
  PID:11984
- C:\Windows\System32\fKRxsSO.exe
  C:\Windows\System32\fKRxsSO.exe
  2⤵
  PID:12004
- C:\Windows\System32\qvTHnTZ.exe
  C:\Windows\System32\qvTHnTZ.exe
  2⤵
  PID:12044
- C:\Windows\System32\adWFcOX.exe
  C:\Windows\System32\adWFcOX.exe
  2⤵
  PID:12060
- C:\Windows\System32\FADTXpV.exe
  C:\Windows\System32\FADTXpV.exe
  2⤵
  PID:12080
- C:\Windows\System32\RSQdarI.exe
  C:\Windows\System32\RSQdarI.exe
  2⤵
  PID:12100
- C:\Windows\System32\HTmqfcn.exe
  C:\Windows\System32\HTmqfcn.exe
  2⤵
  PID:12136
- C:\Windows\System32\gxxPNkb.exe
  C:\Windows\System32\gxxPNkb.exe
  2⤵
  PID:12176
- C:\Windows\System32\EevBHgv.exe
  C:\Windows\System32\EevBHgv.exe
  2⤵
  PID:12192
- C:\Windows\System32\EwvOGoh.exe
  C:\Windows\System32\EwvOGoh.exe
  2⤵
  PID:12212
- C:\Windows\System32\zMTmScQ.exe
  C:\Windows\System32\zMTmScQ.exe
  2⤵
  PID:12240
- C:\Windows\System32\gPNFiJF.exe
  C:\Windows\System32\gPNFiJF.exe
  2⤵
  PID:12264
- C:\Windows\System32\aMJaWyZ.exe
  C:\Windows\System32\aMJaWyZ.exe
  2⤵
  PID:11320
- C:\Windows\System32\WtNuKZD.exe
  C:\Windows\System32\WtNuKZD.exe
  2⤵
  PID:11376
- C:\Windows\System32\RYfVDjf.exe
  C:\Windows\System32\RYfVDjf.exe
  2⤵
  PID:11460
- C:\Windows\System32\bAcegJR.exe
  C:\Windows\System32\bAcegJR.exe
  2⤵
  PID:11456
- C:\Windows\System32\iGYjTDC.exe
  C:\Windows\System32\iGYjTDC.exe
  2⤵
  PID:11584
- C:\Windows\System32\tcRqPmf.exe
  C:\Windows\System32\tcRqPmf.exe
  2⤵
  PID:11620
- C:\Windows\System32\mTsRWVk.exe
  C:\Windows\System32\mTsRWVk.exe
  2⤵
  PID:11636
- C:\Windows\System32\cDrfhWE.exe
  C:\Windows\System32\cDrfhWE.exe
  2⤵
  PID:11744
- C:\Windows\System32\fUbeGCS.exe
  C:\Windows\System32\fUbeGCS.exe
  2⤵
  PID:11856
- C:\Windows\System32\fhjorXh.exe
  C:\Windows\System32\fhjorXh.exe
  2⤵
  PID:11908
- C:\Windows\System32\ULUCFkk.exe
  C:\Windows\System32\ULUCFkk.exe
  2⤵
  PID:11992
- C:\Windows\System32\ETJXAbv.exe
  C:\Windows\System32\ETJXAbv.exe
  2⤵
  PID:12052
- C:\Windows\System32\mkzZMJX.exe
  C:\Windows\System32\mkzZMJX.exe
  2⤵
  PID:12108
- C:\Windows\System32\oiMkemQ.exe
  C:\Windows\System32\oiMkemQ.exe
  2⤵
  PID:12096
- C:\Windows\System32\opWcamo.exe
  C:\Windows\System32\opWcamo.exe
  2⤵
  PID:12072
- C:\Windows\System32\WvcLlYh.exe
  C:\Windows\System32\WvcLlYh.exe
  2⤵
  PID:12256
- C:\Windows\System32\dWBIldv.exe
  C:\Windows\System32\dWBIldv.exe
  2⤵
  PID:11272
- C:\Windows\System32\rrREUgQ.exe
  C:\Windows\System32\rrREUgQ.exe
  2⤵
  PID:11388
- C:\Windows\System32\hUGTzaU.exe
  C:\Windows\System32\hUGTzaU.exe
  2⤵
  PID:11568
- C:\Windows\System32\DgsdSIm.exe
  C:\Windows\System32\DgsdSIm.exe
  2⤵
  PID:11684
- C:\Windows\System32\rLpfoZl.exe
  C:\Windows\System32\rLpfoZl.exe
  2⤵
  PID:11720
- C:\Windows\System32\ujbvmlQ.exe
  C:\Windows\System32\ujbvmlQ.exe
  2⤵
  PID:116
- C:\Windows\System32\ICtgQlB.exe
  C:\Windows\System32\ICtgQlB.exe
  2⤵
  PID:11876
- C:\Windows\System32\VHjMzYT.exe
  C:\Windows\System32\VHjMzYT.exe
  2⤵
  PID:11972
- C:\Windows\System32\oskLKGE.exe
  C:\Windows\System32\oskLKGE.exe
  2⤵
  PID:12016
- C:\Windows\System32\GzukKNU.exe
  C:\Windows\System32\GzukKNU.exe
  2⤵
  PID:10916
- C:\Windows\System32\fdlaEyb.exe
  C:\Windows\System32\fdlaEyb.exe
  2⤵
  PID:3500
- C:\Windows\System32\ogPtLLi.exe
  C:\Windows\System32\ogPtLLi.exe
  2⤵
  PID:12056
- C:\Windows\System32\KOPdfla.exe
  C:\Windows\System32\KOPdfla.exe
  2⤵
  PID:11564
- C:\Windows\System32\aMFPWRX.exe
  C:\Windows\System32\aMFPWRX.exe
  2⤵
  PID:11440
- C:\Windows\System32\iJXJMQy.exe
  C:\Windows\System32\iJXJMQy.exe
  2⤵
  PID:12320
- C:\Windows\System32\FlMvEeF.exe
  C:\Windows\System32\FlMvEeF.exe
  2⤵
  PID:12336
- C:\Windows\System32\SxeidTL.exe
  C:\Windows\System32\SxeidTL.exe
  2⤵
  PID:12400
- C:\Windows\System32\jnbOGyY.exe
  C:\Windows\System32\jnbOGyY.exe
  2⤵
  PID:12420
- C:\Windows\System32\UYDUisp.exe
  C:\Windows\System32\UYDUisp.exe
  2⤵
  PID:12444
- C:\Windows\System32\uxLuhmk.exe
  C:\Windows\System32\uxLuhmk.exe
  2⤵
  PID:12472
- C:\Windows\System32\hUXmRfJ.exe
  C:\Windows\System32\hUXmRfJ.exe
  2⤵
  PID:12508
- C:\Windows\System32\fbGRyfs.exe
  C:\Windows\System32\fbGRyfs.exe
  2⤵
  PID:12540
- C:\Windows\System32\YDvuaJU.exe
  C:\Windows\System32\YDvuaJU.exe
  2⤵
  PID:12560
- C:\Windows\System32\xwHKbcT.exe
  C:\Windows\System32\xwHKbcT.exe
  2⤵
  PID:12576
- C:\Windows\System32\OHUFnnV.exe
  C:\Windows\System32\OHUFnnV.exe
  2⤵
  PID:12600
- C:\Windows\System32\WSJsRVg.exe
  C:\Windows\System32\WSJsRVg.exe
  2⤵
  PID:12628
- C:\Windows\System32\mDQlkPL.exe
  C:\Windows\System32\mDQlkPL.exe
  2⤵
  PID:12680
- C:\Windows\System32\tzpylzS.exe
  C:\Windows\System32\tzpylzS.exe
  2⤵
  PID:12708
- C:\Windows\System32\kKygTHE.exe
  C:\Windows\System32\kKygTHE.exe
  2⤵
  PID:12744
- C:\Windows\System32\BOmobnS.exe
  C:\Windows\System32\BOmobnS.exe
  2⤵
  PID:12764
- C:\Windows\System32\MYrRyUy.exe
  C:\Windows\System32\MYrRyUy.exe
  2⤵
  PID:12808
- C:\Windows\System32\AKTMxKP.exe
  C:\Windows\System32\AKTMxKP.exe
  2⤵
  PID:12836
- C:\Windows\System32\AnVYnMX.exe
  C:\Windows\System32\AnVYnMX.exe
  2⤵
  PID:12856
- C:\Windows\System32\MCZKJGT.exe
  C:\Windows\System32\MCZKJGT.exe
  2⤵
  PID:12880
- C:\Windows\System32\fgQcHAe.exe
  C:\Windows\System32\fgQcHAe.exe
  2⤵
  PID:12900
- C:\Windows\System32\NkCuDJL.exe
  C:\Windows\System32\NkCuDJL.exe
  2⤵
  PID:12936
- C:\Windows\System32\XlfcElQ.exe
  C:\Windows\System32\XlfcElQ.exe
  2⤵
  PID:12956
- C:\Windows\System32\EZJYTkt.exe
  C:\Windows\System32\EZJYTkt.exe
  2⤵
  PID:12980
- C:\Windows\System32\WCXBxYs.exe
  C:\Windows\System32\WCXBxYs.exe
  2⤵
  PID:13032
- C:\Windows\System32\GmuaycY.exe
  C:\Windows\System32\GmuaycY.exe
  2⤵
  PID:13048
- C:\Windows\System32\tQDLoXb.exe
  C:\Windows\System32\tQDLoXb.exe
  2⤵
  PID:13076
- C:\Windows\System32\XqJbcNr.exe
  C:\Windows\System32\XqJbcNr.exe
  2⤵
  PID:13108
- C:\Windows\System32\TFYjCuR.exe
  C:\Windows\System32\TFYjCuR.exe
  2⤵
  PID:13132
- C:\Windows\System32\wUGABMY.exe
  C:\Windows\System32\wUGABMY.exe
  2⤵
  PID:13152
- C:\Windows\System32\SWuUVez.exe
  C:\Windows\System32\SWuUVez.exe
  2⤵
  PID:13188
- C:\Windows\System32\JNYolUY.exe
  C:\Windows\System32\JNYolUY.exe
  2⤵
  PID:13216
- C:\Windows\System32\ehgrxVk.exe
  C:\Windows\System32\ehgrxVk.exe
  2⤵
  PID:13244
- C:\Windows\System32\oYWEmzJ.exe
  C:\Windows\System32\oYWEmzJ.exe
  2⤵
  PID:13264
- C:\Windows\System32\UopXsIT.exe
  C:\Windows\System32\UopXsIT.exe
  2⤵
  PID:13292
- C:\Windows\System32\YsuvNPN.exe
  C:\Windows\System32\YsuvNPN.exe
  2⤵
  PID:13308
- C:\Windows\System32\ZcRfWDw.exe
  C:\Windows\System32\ZcRfWDw.exe
  2⤵
  PID:11420
- C:\Windows\System32\ytOKQax.exe
  C:\Windows\System32\ytOKQax.exe
  2⤵
  PID:12332
- C:\Windows\System32\XDVOVhr.exe
  C:\Windows\System32\XDVOVhr.exe
  2⤵
  PID:12348
- C:\Windows\System32\XsqJaRe.exe
  C:\Windows\System32\XsqJaRe.exe
  2⤵
  PID:12440
- C:\Windows\System32\GmQKwHO.exe
  C:\Windows\System32\GmQKwHO.exe
  2⤵
  PID:12484
- C:\Windows\System32\SYVWfUV.exe
  C:\Windows\System32\SYVWfUV.exe
  2⤵
  PID:12596
- C:\Windows\System32\kWNDEfp.exe
  C:\Windows\System32\kWNDEfp.exe
  2⤵
  PID:12652
- C:\Windows\System32\uflDTvT.exe
  C:\Windows\System32\uflDTvT.exe
  2⤵
  PID:12636
- C:\Windows\System32\SelGoTj.exe
  C:\Windows\System32\SelGoTj.exe
  2⤵
  PID:12828
- C:\Windows\System32\VCDTzff.exe
  C:\Windows\System32\VCDTzff.exe
  2⤵
  PID:12892
- C:\Windows\System32\PqZEwUJ.exe
  C:\Windows\System32\PqZEwUJ.exe
  2⤵
  PID:12976
- C:\Windows\System32\aBHraAB.exe
  C:\Windows\System32\aBHraAB.exe
  2⤵
  PID:12172
- C:\Windows\System32\qNLszJN.exe
  C:\Windows\System32\qNLszJN.exe
  2⤵
  PID:13044
- C:\Windows\System32\qyGtYek.exe
  C:\Windows\System32\qyGtYek.exe
  2⤵
  PID:13088
- C:\Windows\System32\bYxroKb.exe
  C:\Windows\System32\bYxroKb.exe
  2⤵
  PID:13236
- C:\Windows\System32\jpgcimL.exe
  C:\Windows\System32\jpgcimL.exe
  2⤵
  PID:11952
- C:\Windows\System32\SLqTypM.exe
  C:\Windows\System32\SLqTypM.exe
  2⤵
  PID:12128
- C:\Windows\System32\BPVrAkM.exe
  C:\Windows\System32\BPVrAkM.exe
  2⤵
  PID:12460
- C:\Windows\System32\gSDHliT.exe
  C:\Windows\System32\gSDHliT.exe
  2⤵
  PID:12568
- C:\Windows\System32\LyTYifZ.exe
  C:\Windows\System32\LyTYifZ.exe
  2⤵
  PID:12908
- C:\Windows\System32\qKvKWxw.exe
  C:\Windows\System32\qKvKWxw.exe
  2⤵
  PID:12932
- C:\Windows\System32\KRlHPkL.exe
  C:\Windows\System32\KRlHPkL.exe
  2⤵
  PID:13016
- C:\Windows\System32\umbbyri.exe
  C:\Windows\System32\umbbyri.exe
  2⤵
  PID:11532
- C:\Windows\System32\zdPvHKI.exe
  C:\Windows\System32\zdPvHKI.exe
  2⤵
  PID:12820
- C:\Windows\System32\DSnMTIZ.exe
  C:\Windows\System32\DSnMTIZ.exe
  2⤵
  PID:13172
- C:\Windows\System32\mxfKzee.exe
  C:\Windows\System32\mxfKzee.exe
  2⤵
  PID:12428
- C:\Windows\System32\xDzObUl.exe
  C:\Windows\System32\xDzObUl.exe
  2⤵
  PID:13316
- C:\Windows\System32\InxuUQe.exe
  C:\Windows\System32\InxuUQe.exe
  2⤵
  PID:13348
- C:\Windows\System32\BmJhJhQ.exe
  C:\Windows\System32\BmJhJhQ.exe
  2⤵
  PID:13368
- C:\Windows\System32\whNssUu.exe
  C:\Windows\System32\whNssUu.exe
  2⤵
  PID:13384
- C:\Windows\System32\EYLtPaf.exe
  C:\Windows\System32\EYLtPaf.exe
  2⤵
  PID:13412
- C:\Windows\System32\WwaSSqa.exe
  C:\Windows\System32\WwaSSqa.exe
  2⤵
  PID:13436
- C:\Windows\System32\NYGdPWI.exe
  C:\Windows\System32\NYGdPWI.exe
  2⤵
  PID:13456
- C:\Windows\System32\RVWseIC.exe
  C:\Windows\System32\RVWseIC.exe
  2⤵
  PID:13484
- C:\Windows\System32\svwiGlo.exe
  C:\Windows\System32\svwiGlo.exe
  2⤵
  PID:13524
- C:\Windows\System32\lnoGRGt.exe
  C:\Windows\System32\lnoGRGt.exe
  2⤵
  PID:13552
- C:\Windows\System32\OnicDWe.exe
  C:\Windows\System32\OnicDWe.exe
  2⤵
  PID:13572
- C:\Windows\System32\oZroLjD.exe
  C:\Windows\System32\oZroLjD.exe
  2⤵
  PID:13596
- C:\Windows\System32\GDVOImI.exe
  C:\Windows\System32\GDVOImI.exe
  2⤵
  PID:13620
- C:\Windows\System32\ffLJBZX.exe
  C:\Windows\System32\ffLJBZX.exe
  2⤵
  PID:13636
- C:\Windows\System32\MIcCUKf.exe
  C:\Windows\System32\MIcCUKf.exe
  2⤵
  PID:13660
- C:\Windows\System32\wkRGrOC.exe
  C:\Windows\System32\wkRGrOC.exe
  2⤵
  PID:13704
- C:\Windows\System32\LFWusIh.exe
  C:\Windows\System32\LFWusIh.exe
  2⤵
  PID:13756

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13580

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:14728

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BRjjbxD.exe

Filesize
1.7MB

MD5
b3b2fbd5edd459f222df3cb8fd8a5710

SHA1
758915d4f342b380cb2af78d1620a57222265164

SHA256
01fbdaad33d5359e7dc52cfaf754ba2102373009896abb66e810035d71df0897

SHA512
80e391f32044af71486c9ccd59a708c25cde356bff2ec718b57e347ba2e4acf6ff3a90962a29607d2fd091f3006b11d88d2fa964e96b093dfc8a2ac46fd3be13

Download Submit
C:\Windows\System32\CsEHTXC.exe

Filesize
1.7MB

MD5
2c5c7d9760a4666940b6d29820409956

SHA1
c1593d8c839f5c8eaa7814b6217cbf2ab39aa68e

SHA256
abae18f429c08e24748563045e8234f800fbf583aa06387273320514ea08ebfb

SHA512
28497de2bec98090c9018c61eb3a498b83ff9fc8080df093e7ace3f14b005fe2e0b2278f300ce432c5aff9ba1b91bd71259871a1ae53062c70c189387cee4b9e

Download Submit
C:\Windows\System32\DHdoLTo.exe

Filesize
1.7MB

MD5
bdd1649cd70775f179e987012dd8e004

SHA1
c085df8e745dcbd7a748de09f00e10165b27454c

SHA256
0fdfaa3a2f37e35d50341648bbba11486b73e4a07090ac5f0c1378dc720e3b7b

SHA512
1068fd3bd5fac7db5f261a5badf38419a08db5173b195fb3c6a1a3dc0925f2ace7421d24ba35de6f26598a48aae7cdd18512e0520bb5bad53179c2951b143150

Download Submit
C:\Windows\System32\DdfeDdl.exe

Filesize
1.7MB

MD5
8bd312364e07b1d7f5c43b7971d55890

SHA1
46bac0ec41d05ec5fe6a7266cd06ef3290fbfba8

SHA256
f2ad7511abac91ae95dad84e19e2ee2256d4979e2b3f097d4f5b23473b5ea209

SHA512
4a150fde15943d1473f65b0420c8c41bc3aae638a754823205882a874bbfa2129ea05b60749e2c54cded18941919732dbf275e246b90c4e2ab9f89963c67368f

Download Submit
C:\Windows\System32\DtIlgHX.exe

Filesize
1.7MB

MD5
1da4fa4bf7193f5dbbb49f200c87f607

SHA1
5dbd85be31ad6b998d06895caf3ff4006f769836

SHA256
6f674d90ee451b14a62caa8ce70d45a1191f6cfaf770d9ef6ad5b261de84b0ab

SHA512
5962aa090f151d319b0bbd3942acc8a5c0e2ba6925b01f09ebcbd5fc7099c9dbf2c84dbc373cab2ae2276008dc697df8da5524386d524a4b5521ab38d9d92bfa

Download Submit
C:\Windows\System32\FipBbIq.exe

Filesize
1.7MB

MD5
87f6c56ab0a9e2a1853a2c3b19fd7ecf

SHA1
c1e7570633ce5afb0b8e1d70b0beaaf1bc5958ca

SHA256
accb2a19c6c9ac9b14fa9c5dc9699ff4ac1322a357383b8d8785dced11121211

SHA512
9effb4fb9dd911e6bdd3ac22e7136293bd37a760514e6ba0995c1c9a3f03b6503e6d9dff17a401fcf91a1f83d068d8e1d6b82647b1fc1a836ff5c24f2c824ccf

Download Submit
C:\Windows\System32\MgMuPVb.exe

Filesize
1.7MB

MD5
de86988c4406c1131465e9e060249480

SHA1
8702bcfdfb8399c32f21e5c3da9e657ac39aba20

SHA256
ba14f164dff3cb1977777c2d0ce24032345207ff6a3e81809bc2f563c4cc8aaf

SHA512
cb4ae5584c8289d7d59e59fe4b220b12879c87f8fc003cfeaaa68239d5b5f26a82ed6eedcd099b30082019e032a2fdc5981675512414390976a3aa5bf70c2d2b

Download Submit
C:\Windows\System32\OenUeaA.exe

Filesize
1.7MB

MD5
6e4c2e28d9d05112247fdec627970ad3

SHA1
68cac1eed6fd4a42f481f0b13843b5e4d0f87278

SHA256
c80f2c7a06c92f1e06d2dd2575effa37ecb22fad04c27028ee6250c0207e51c8

SHA512
0a5f19504c131bda746cf2c24d36d1aaac77a831ed93a0e1f130aa38c7d8147cc57ab8566ebcf6661411f37a12a8e5fbe70ad694f9c6649375d8202a7ab5e937

Download Submit
C:\Windows\System32\OvbjJCs.exe

Filesize
1.7MB

MD5
9b600824171a5af2805791139434a900

SHA1
6fd2b4d13d139d6295c173ef3f4c959a2dd594e7

SHA256
ed2c4e4c5b63e83d746aca5675c28d151c2173695e9de1f10f00650b7a6f6ae0

SHA512
89f744c3656fedfa0a0641688ba5401dfc8fa051a72f9ece1daee88d3a33d499411d831e570230aa52343dbdd05b7f381e85d18ac94c8e7a427c32f5a244ea89

Download Submit
C:\Windows\System32\QScXDZB.exe

Filesize
1.7MB

MD5
4426f4096cd7441d3afa30d1a78ced95

SHA1
e4bf52191911d54a6b70f5f4fb5688b571825098

SHA256
484a1f2a139366ca7486efb7ec3b0210ad92fdb787a03caf168d1796b2393710

SHA512
638fca61188fc32bdf76cd337bafcab4e43d92346800454dfef80668630f39d49fdc6f5399ba28d63f733e8026e349a4fa29ef15a9da64244243c3d422b7ee7e

Download Submit
C:\Windows\System32\QquVfBP.exe

Filesize
1.7MB

MD5
8e247774f59d9a4d8453e11ba9fe810f

SHA1
f96546611ffc7c4fe4b1e020b9e8614f0e5fbfe9

SHA256
242ba1c745753bc39a5c26cafc975d605d77a89766a917a87796be81d8bc0a6c

SHA512
f9bc672f1104ae5a6f798f2d095c20e91a063ac46bed85d7c89ba8dc6778a2f500d03baeb45af166331273bf546f0a2b93cee59b1ebb131f9c9b6701152a8f8a

Download Submit
C:\Windows\System32\TUJGdva.exe

Filesize
1.7MB

MD5
03623f6abb05d4911f05e903366db165

SHA1
62bf49cc19380cbf6fe2894723f3ee414b61aa43

SHA256
bd32a876432dd33240f6cfc15a6645b15366a0cdb842f22a535861b6faedae55

SHA512
9d395d1dc631fae258ae35ea014f356b036b90dd23250bf0d56ab30c5d1f297e6aefda497927280d9ba669aba7d18041ddb1a19e251000e8f3bc04b14728c9e7

Download Submit
C:\Windows\System32\WSfDgdD.exe

Filesize
1.7MB

MD5
21cd6ffc2b48de8902216a670685ae78

SHA1
673c91689b2b8c80a7577144b94da5f26db0bdfe

SHA256
3cb6b05645e993239f56784c13ca123077206d36d054d84730a17c6a35df7d12

SHA512
145e5ac7416cac8363537ba57793e250a5432bc30f3c59b1a025df65f2a4a06e198aa704499085ecfd39633a472797960fc4c977b06d5e6ba3b9be5e009c0d00

Download Submit
C:\Windows\System32\WnXUnsV.exe

Filesize
1.7MB

MD5
41c3e768348b85d2630bdb1fcfbd3cd4

SHA1
dcdcd319e2f77f5982fd97657e34559353d18826

SHA256
b8df395c7efde05f1fe7e502c23f9e0ed8967e8c339df4018b743efae18eab95

SHA512
3ef4374f2a53e8bfd8e700d0b90b5b3436672a6aa8fd0a9eb71293ed70f1828ab4bc868ceb2676668e6fb7b25f9340cb4589ae9530b0cd3f380ff5454ff0d37c

Download Submit
C:\Windows\System32\XmceFKJ.exe

Filesize
1.7MB

MD5
4cec1330463eaf373fa698dfa3e89642

SHA1
223e6cd1fee7e91cd4b8999abcf6e578cc83e15e

SHA256
08b62f0ce58a2de2344db4a13e719886c314ddb19789e02e0b839d3dbfa3e636

SHA512
62f3fe57a2868a8f669b40c7dfbb1cdd0b270acce82d0798c474868deb3556d427b774c4b5fccaeab7e074338ff0aea3ee229567d57fc6e9bc6149c7a674fc84

Download Submit
C:\Windows\System32\ZUyOaHo.exe

Filesize
1.7MB

MD5
bd9b949682a75317375a824d8c8020dc

SHA1
b30ad9b7085d223c21f3267fab04b9184759a990

SHA256
c3de0a78435eff132b1ecd761659d9c1056f6f2404b4a018bdde90164d017457

SHA512
e60943abc6e0d99a8436888b0fbb86640d7dac0245c4b865c06c9c36413466b850cae08381c215e9760edf4662d430ffe52514d025550c7ac35f70266ba5286a

Download Submit
C:\Windows\System32\aFptsnl.exe

Filesize
1.7MB

MD5
6a7563e2ab4bad61f5e44f10b2669359

SHA1
cefd68d188885e9aa009f7769bd083eefd80e9d4

SHA256
535f34f08a83d7a32056b192486a9b15d3273994e1d5639be2f40f98c9c1db7d

SHA512
4bde3c3d4c0f434d3dc8cff5ff50b1cffa86f55b7615b828fc3a1c4a310f5725b580c9eb1741cc1fe0fc572d82022f7cc7e5856cbb766d7f9ff245877c9594cb

Download Submit
C:\Windows\System32\bobIGcu.exe

Filesize
1.7MB

MD5
4760dfe6f6243be22ccc56f2fa471a0c

SHA1
1be50ae4e58360b23e5b680ccb73a0159bab66e2

SHA256
9cd764ffde3042a9a1252f2d505f74db581f266d4640da081951e3c09302a84a

SHA512
1326bb5445b94b204432ae67012c40daa1731cd687f9328c2ccf3fdd0b1ad1b4b4ee4d5ee0082c24f6157f471ee0afa1dbec358a706a40f4d41edbc475bef19a

Download Submit
C:\Windows\System32\fMOPIYv.exe

Filesize
1.7MB

MD5
0283c188aa9a852f62598eae2dac3200

SHA1
db9494d4550a3c81e4f45b1154b5e56092421ca3

SHA256
3e7ec1830e5c44ff98ccc12b3ac98a9072a47115365f05e508e3ac1a7d5df93d

SHA512
b77b187d2cb1133aae699f327cd4c6bb8267960054dfb15b6d7c869269a796a729e4e373bc9bf5ea8cd021a0e5bc1ceb14584a460e3ad14e4ffcd700a6e17df9

Download Submit
C:\Windows\System32\hdTTMrd.exe

Filesize
1.7MB

MD5
05672a6f2ff757d021bd796bae2471ea

SHA1
3f4a8b35bab5c3db41455df5954b3556193809f9

SHA256
723867b832b8035c35a4b64d11702018e5620d19ce2ee01cc9013db7348174e5

SHA512
4d6bca591fa58f9843dabde9e63b409829a9958bfec223efa2b01e435d47d9c79e27f2f59ba3e8f7bb9038ecef355f461d06237b8d6a2f3d5229cbb1b06cf689

Download Submit
C:\Windows\System32\jVpYtJd.exe

Filesize
1.7MB

MD5
036cf620eff6ea5828c385152cbbb3f7

SHA1
fc7b019cd546ee7be784b85dfbe9fdd4e07a4b54

SHA256
7b39e118c953d05cb95e9040e3388fcfd1e4cfe41fcb0ab0d4da351a98652777

SHA512
e6a649faf99fb639c9aae9f25965112b4f1f4501e06ecde535d5cea8251af80f7a192440537f041853b0bacc08e3aa0643cf81094774bdc2e44617ae89d24fd5

Download Submit
C:\Windows\System32\nXiKfYR.exe

Filesize
1.7MB

MD5
50bddee8ac4bdd3b2a29c9f37005b1e0

SHA1
d9307cd52aaf9bfdfe9c9d16cd606b00250d2b74

SHA256
7a9288eab3c720858662c2765884d51ab04e193d6fe66fb88f04c82882dc48d6

SHA512
c828d0d3468a710b952a349d65a761e450799b61dcae2bfdee42ebc6e8cd13569271906c60803aedeb1ccaa3aaf837db297eb69782eeab537c85c208929e7bda

Download Submit
C:\Windows\System32\nmKShUJ.exe

Filesize
1.7MB

MD5
08ad10b85c0e48838380532e2f8de486

SHA1
440d986ea4fd1bd94ae64bd00b7df133f65ab76f

SHA256
bec60675c6dcc1ffdf3c725bc3215387c82b6491afd15f0e85c5bdef54aa0be9

SHA512
a3030d8299c3d847df726e575423b68df74e99dac6d51fba4e5e50311a814c4ee8d35e9f0209d13bd4ee71ca42c03d82fad49777d2758efbf860d38a428f3663

Download Submit
C:\Windows\System32\oFPxRUm.exe

Filesize
1.7MB

MD5
931ac31b4b7de8921010a3f50e3c677b

SHA1
cc827746715bd6f9ad9b34d9fbe3a633653be636

SHA256
2c7af9f4ab399131c0dc6ade4f2ea4ff57c39fdce5f350e92cb1dd6410aefd22

SHA512
f226f52666f9ce926ec31d47e44492b3d6dbebbb7dad48e926a9d3e8a4994ec1dfa116316ef0fbfc2d7de2712c307c2224b32fd5e1855509dc3545d75d0b1a68

Download Submit
C:\Windows\System32\oUrdNzy.exe

Filesize
1.7MB

MD5
9d539451563f51a03575fed9174154d9

SHA1
6ca2f81bc3ba9fb201a58717459acf5bf1d7ca3e

SHA256
82fcc72d468966d36a786c70d2a05e000397b081f35e585d7f475beb73c65dd1

SHA512
d91a0cf9e17f94e2f63e7e28bd04f07467d905e419ae93a49d6838bd6da6292ac44924b9bbde14adc094d3e1c2a42f45722d8192bc326d34ab78ead5ce7d2938

Download Submit
C:\Windows\System32\qvqLvZd.exe

Filesize
1.7MB

MD5
e3dbc408f545cdd9f495c2708e32d86e

SHA1
c1df029ea0232f27b5476a0d656f520a1d280d82

SHA256
96815be9c06a921175142a27401c80ac4ab70dec0ba03777cbb792faf94b78ac

SHA512
5129f6d3c6266e978706e895505bb3942b1bafb971cc222f7a7426d7f905db6d17122379ce15d8968dd5fef49880214df1cd0a2d5006dc453ffaee4287fd84c2

Download Submit
C:\Windows\System32\rEvEILj.exe

Filesize
1.7MB

MD5
b08643c4e1f9851da4fe3b8ed3280cae

SHA1
e96a931e6ece8672de30883b215997d8f0f3f207

SHA256
548895d7ad0f19c39390779b798a801ec975ddb9445b2e4a9b0cf8620e8e9a15

SHA512
ebf00652936b32ddfca40980e112bd570a03d21754aa2b7bf103d90eab6d925fea261641e278e6516957c6f1138c284e3518b14fff7e606df73ba95d5870f61d

Download Submit
C:\Windows\System32\rXstHPW.exe

Filesize
1.7MB

MD5
bddaa8bd1ec0f07d1ce35436cccf5bd2

SHA1
338ad27ed70937058632b91ce2eafc6392b13506

SHA256
11617cb08db7de179cab960f202d153c2bb3452e6335abb1f9bd1e3316169f58

SHA512
654aeb44a734e24157f133297007dbc4e7019862a3bb60cdafc4d8240e9e5be80928f489889bd7d1feb072b95e91b1246783915be3ea94047783b452fe3e6f00

Download Submit
C:\Windows\System32\uEHvdbw.exe

Filesize
1.7MB

MD5
8ef7a751d0ae183f5c72a77bb8cc40a0

SHA1
2d1157eda1bcf1421056bfb0080fa2d6b39e2ab8

SHA256
e8c85f4b8c9df2c33d72a468c10572d527bf4088883debe4fb93b71c9ba73b1d

SHA512
5ac42e81685a3df9fd7ec3347a7d95d1c8be5a29308a6dee5fc4ef2d60afb4344405a46ef69a5ea651db842ef86ec6ffe16dabffce848880efb72be231aac316

Download Submit
C:\Windows\System32\vQEjvnA.exe

Filesize
1.7MB

MD5
591d139c31ab53e43533df913e029c43

SHA1
d599b77009d357ed90c8fc95a89f7a073ae3059c

SHA256
f4a880389cba918991980835df9141411f7a384a629b4d285fdc1d55568ebb88

SHA512
313fb4d9af7581400d5e67f1205be36640813fa15a6aaaefe4cb91f403d50b5f1cf05237b2d2c42990d20e004fd969666ae0cf8edc274d4abf5028a99c9d28d2

Download Submit
C:\Windows\System32\vrUtnqn.exe

Filesize
1.7MB

MD5
d4eae092e67ff520ca904edc065bb960

SHA1
c23569cf095a86012c281ca04e5544ce378b40b3

SHA256
535645d9957fb410df7f8089b7755782dbb387aa6d6667ee438429e6f03ee883

SHA512
df5a68755ba7092ac75936b1672245e17eb573bcbc6cd184c8e2b528fb54997d74d2944a54aef8c5385b001464631190fb6af639edcc9ee019a09496cb09f3ff

Download Submit
C:\Windows\System32\znDoNnc.exe

Filesize
1.7MB

MD5
96214dcf5bc6d4f572e9d8405184f996

SHA1
2a41fbaac89b8d11050d7d9fc1f82a649d5b12db

SHA256
bb16eb13d8617ea41fcecb88d71f3b28b23368a09b4d8ecbbeb07f9f9a314466

SHA512
1ff2ec657a85dec46d8b8562d4cca0987863305a91645c12737fb660efcf0b4a56f3a32c067b364606b0142f5193a498aab846e65b338b7363834ffc3432a5c9

Download Submit
memory/640-443-0x00007FF7EE410000-0x00007FF7EE801000-memory.dmp

Filesize
3.9MB

Download
memory/640-2190-0x00007FF7EE410000-0x00007FF7EE801000-memory.dmp

Filesize
3.9MB

Download
memory/700-1635-0x00007FF678870000-0x00007FF678C61000-memory.dmp

Filesize
3.9MB

Download
memory/700-75-0x00007FF678870000-0x00007FF678C61000-memory.dmp

Filesize
3.9MB

Download
memory/700-2174-0x00007FF678870000-0x00007FF678C61000-memory.dmp

Filesize
3.9MB

Download
memory/852-2120-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp

Filesize
3.9MB

Download
memory/852-1622-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp

Filesize
3.9MB

Download
memory/852-12-0x00007FF6C3840000-0x00007FF6C3C31000-memory.dmp

Filesize
3.9MB

Download
memory/1468-437-0x00007FF6A6CD0000-0x00007FF6A70C1000-memory.dmp

Filesize
3.9MB

Download
memory/1468-2180-0x00007FF6A6CD0000-0x00007FF6A70C1000-memory.dmp

Filesize
3.9MB

Download
memory/1528-64-0x00007FF616AC0000-0x00007FF616EB1000-memory.dmp

Filesize
3.9MB

Download
memory/1528-2156-0x00007FF616AC0000-0x00007FF616EB1000-memory.dmp

Filesize
3.9MB

Download
memory/1536-79-0x00007FF68A750000-0x00007FF68AB41000-memory.dmp

Filesize
3.9MB

Download
memory/1536-2164-0x00007FF68A750000-0x00007FF68AB41000-memory.dmp

Filesize
3.9MB

Download
memory/1572-2188-0x00007FF6DAAF0000-0x00007FF6DAEE1000-memory.dmp

Filesize
3.9MB

Download
memory/1572-441-0x00007FF6DAAF0000-0x00007FF6DAEE1000-memory.dmp

Filesize
3.9MB

Download
memory/1968-2184-0x00007FF798AB0000-0x00007FF798EA1000-memory.dmp

Filesize
3.9MB

Download
memory/1968-439-0x00007FF798AB0000-0x00007FF798EA1000-memory.dmp

Filesize
3.9MB

Download
memory/2060-2162-0x00007FF67AFC0000-0x00007FF67B3B1000-memory.dmp

Filesize
3.9MB

Download
memory/2060-455-0x00007FF67AFC0000-0x00007FF67B3B1000-memory.dmp

Filesize
3.9MB

Download
memory/2068-2158-0x00007FF6E7F80000-0x00007FF6E8371000-memory.dmp

Filesize
3.9MB

Download
memory/2068-63-0x00007FF6E7F80000-0x00007FF6E8371000-memory.dmp

Filesize
3.9MB

Download
memory/2308-435-0x00007FF754630000-0x00007FF754A21000-memory.dmp

Filesize
3.9MB

Download
memory/2308-2176-0x00007FF754630000-0x00007FF754A21000-memory.dmp

Filesize
3.9MB

Download
memory/2792-442-0x00007FF771C70000-0x00007FF772061000-memory.dmp

Filesize
3.9MB

Download
memory/2792-2192-0x00007FF771C70000-0x00007FF772061000-memory.dmp

Filesize
3.9MB

Download
memory/2956-2122-0x00007FF728290000-0x00007FF728681000-memory.dmp

Filesize
3.9MB

Download
memory/2956-446-0x00007FF728290000-0x00007FF728681000-memory.dmp

Filesize
3.9MB

Download
memory/3156-462-0x00007FF7F74A0000-0x00007FF7F7891000-memory.dmp

Filesize
3.9MB

Download
memory/3156-2168-0x00007FF7F74A0000-0x00007FF7F7891000-memory.dmp

Filesize
3.9MB

Download
memory/3240-70-0x00007FF7A1850000-0x00007FF7A1C41000-memory.dmp

Filesize
3.9MB

Download
memory/3240-2161-0x00007FF7A1850000-0x00007FF7A1C41000-memory.dmp

Filesize
3.9MB

Download
memory/3360-0-0x00007FF689AE0000-0x00007FF689ED1000-memory.dmp

Filesize
3.9MB

Download
memory/3360-1-0x0000022089160000-0x0000022089170000-memory.dmp

Filesize
64KB

Download
memory/3360-1618-0x00007FF689AE0000-0x00007FF689ED1000-memory.dmp

Filesize
3.9MB

Download
memory/3760-76-0x00007FF6C8300000-0x00007FF6C86F1000-memory.dmp

Filesize
3.9MB

Download
memory/3760-2166-0x00007FF6C8300000-0x00007FF6C86F1000-memory.dmp

Filesize
3.9MB

Download
memory/3880-1629-0x00007FF68B390000-0x00007FF68B781000-memory.dmp

Filesize
3.9MB

Download
memory/3880-44-0x00007FF68B390000-0x00007FF68B781000-memory.dmp

Filesize
3.9MB

Download
memory/3880-2124-0x00007FF68B390000-0x00007FF68B781000-memory.dmp

Filesize
3.9MB

Download
memory/4168-440-0x00007FF63DEB0000-0x00007FF63E2A1000-memory.dmp

Filesize
3.9MB

Download
memory/4168-2186-0x00007FF63DEB0000-0x00007FF63E2A1000-memory.dmp

Filesize
3.9MB

Download
memory/4356-465-0x00007FF7715F0000-0x00007FF7719E1000-memory.dmp

Filesize
3.9MB

Download
memory/4356-2170-0x00007FF7715F0000-0x00007FF7719E1000-memory.dmp

Filesize
3.9MB

Download
memory/4416-2178-0x00007FF6F0910000-0x00007FF6F0D01000-memory.dmp

Filesize
3.9MB

Download
memory/4416-436-0x00007FF6F0910000-0x00007FF6F0D01000-memory.dmp

Filesize
3.9MB

Download
memory/4544-438-0x00007FF782BA0000-0x00007FF782F91000-memory.dmp

Filesize
3.9MB

Download
memory/4544-2182-0x00007FF782BA0000-0x00007FF782F91000-memory.dmp

Filesize
3.9MB

Download
memory/4548-451-0x00007FF746F70000-0x00007FF747361000-memory.dmp

Filesize
3.9MB

Download
memory/4548-2126-0x00007FF746F70000-0x00007FF747361000-memory.dmp

Filesize
3.9MB

Download
memory/4556-60-0x00007FF7D2A90000-0x00007FF7D2E81000-memory.dmp

Filesize
3.9MB

Download
memory/4556-2130-0x00007FF7D2A90000-0x00007FF7D2E81000-memory.dmp

Filesize
3.9MB

Download
memory/5052-2172-0x00007FF655EC0000-0x00007FF6562B1000-memory.dmp

Filesize
3.9MB

Download
memory/5052-434-0x00007FF655EC0000-0x00007FF6562B1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads