xmrig | 6167d7dc551b24930590076b1b983a19ad9632776e787575623ad0a104175d33

Analysis

max time kernel
94s
max time network
98s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
13-09-2024 09:08

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

f0b735e9921c713ec6347adca2af6a90N.exe
Size

1.2MB
MD5

f0b735e9921c713ec6347adca2af6a90
SHA1

8482f97c13b37a7874802f38f65505d2dc700696
SHA256

6167d7dc551b24930590076b1b983a19ad9632776e787575623ad0a104175d33
SHA512

f84d34e7ebccc3419fefafe3fa3a061f4036b3711d9c9e37d8ceba81664e41dc8a91bfb8a1a5d1176ba93fdac12c300ec17f8addfafc08474b40029eab28732f
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5Pbcq92zEeBflHzGsU+s:knw9oUUEEDl37jcq4jX2

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/768-46-0x00007FF645CD0000-0x00007FF6460C1000-memory.dmp	xmrig
behavioral2/memory/4500-76-0x00007FF7E4F20000-0x00007FF7E5311000-memory.dmp	xmrig
behavioral2/memory/4532-72-0x00007FF725F20000-0x00007FF726311000-memory.dmp	xmrig
behavioral2/memory/2956-52-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp	xmrig
behavioral2/memory/4456-48-0x00007FF705710000-0x00007FF705B01000-memory.dmp	xmrig
behavioral2/memory/452-42-0x00007FF6748C0000-0x00007FF674CB1000-memory.dmp	xmrig
behavioral2/memory/1440-45-0x00007FF720EC0000-0x00007FF7212B1000-memory.dmp	xmrig
behavioral2/memory/3140-87-0x00007FF65A830000-0x00007FF65AC21000-memory.dmp	xmrig
behavioral2/memory/4736-138-0x00007FF65B6F0000-0x00007FF65BAE1000-memory.dmp	xmrig
behavioral2/memory/2176-147-0x00007FF679DF0000-0x00007FF67A1E1000-memory.dmp	xmrig
behavioral2/memory/2524-154-0x00007FF6B4380000-0x00007FF6B4771000-memory.dmp	xmrig
behavioral2/memory/2956-354-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp	xmrig
behavioral2/memory/2988-357-0x00007FF7043B0000-0x00007FF7047A1000-memory.dmp	xmrig
behavioral2/memory/4172-588-0x00007FF698610000-0x00007FF698A01000-memory.dmp	xmrig
behavioral2/memory/3596-1162-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp	xmrig
behavioral2/memory/1716-1301-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp	xmrig
behavioral2/memory/2596-1158-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp	xmrig
behavioral2/memory/2668-989-0x00007FF6BBDF0000-0x00007FF6BC1E1000-memory.dmp	xmrig
behavioral2/memory/1084-690-0x00007FF632D70000-0x00007FF633161000-memory.dmp	xmrig
behavioral2/memory/2600-355-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp	xmrig
behavioral2/memory/3300-143-0x00007FF6BABA0000-0x00007FF6BAF91000-memory.dmp	xmrig
behavioral2/memory/4000-134-0x00007FF6F23A0000-0x00007FF6F2791000-memory.dmp	xmrig
behavioral2/memory/3164-131-0x00007FF678110000-0x00007FF678501000-memory.dmp	xmrig
behavioral2/memory/1952-112-0x00007FF6E6F60000-0x00007FF6E7351000-memory.dmp	xmrig
behavioral2/memory/3952-100-0x00007FF74D390000-0x00007FF74D781000-memory.dmp	xmrig
behavioral2/memory/3612-98-0x00007FF66DA70000-0x00007FF66DE61000-memory.dmp	xmrig
behavioral2/memory/3612-2137-0x00007FF66DA70000-0x00007FF66DE61000-memory.dmp	xmrig
behavioral2/memory/4736-2141-0x00007FF65B6F0000-0x00007FF65BAE1000-memory.dmp	xmrig
behavioral2/memory/452-2143-0x00007FF6748C0000-0x00007FF674CB1000-memory.dmp	xmrig
behavioral2/memory/3952-2139-0x00007FF74D390000-0x00007FF74D781000-memory.dmp	xmrig
behavioral2/memory/768-2145-0x00007FF645CD0000-0x00007FF6460C1000-memory.dmp	xmrig
behavioral2/memory/4456-2149-0x00007FF705710000-0x00007FF705B01000-memory.dmp	xmrig
behavioral2/memory/1440-2147-0x00007FF720EC0000-0x00007FF7212B1000-memory.dmp	xmrig
behavioral2/memory/1084-2165-0x00007FF632D70000-0x00007FF633161000-memory.dmp	xmrig
behavioral2/memory/4172-2171-0x00007FF698610000-0x00007FF698A01000-memory.dmp	xmrig
behavioral2/memory/2600-2175-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp	xmrig
behavioral2/memory/4532-2173-0x00007FF725F20000-0x00007FF726311000-memory.dmp	xmrig
behavioral2/memory/2956-2169-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp	xmrig
behavioral2/memory/2596-2177-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp	xmrig
behavioral2/memory/2176-2201-0x00007FF679DF0000-0x00007FF67A1E1000-memory.dmp	xmrig
behavioral2/memory/4000-2200-0x00007FF6F23A0000-0x00007FF6F2791000-memory.dmp	xmrig
behavioral2/memory/3300-2214-0x00007FF6BABA0000-0x00007FF6BAF91000-memory.dmp	xmrig
behavioral2/memory/2668-2218-0x00007FF6BBDF0000-0x00007FF6BC1E1000-memory.dmp	xmrig
behavioral2/memory/1716-2221-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp	xmrig
behavioral2/memory/2524-2216-0x00007FF6B4380000-0x00007FF6B4771000-memory.dmp	xmrig
behavioral2/memory/1952-2207-0x00007FF6E6F60000-0x00007FF6E7351000-memory.dmp	xmrig
behavioral2/memory/3164-2205-0x00007FF678110000-0x00007FF678501000-memory.dmp	xmrig
behavioral2/memory/3596-2203-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3612	giOnMcs.exe
3952	RPeZNKR.exe
4736	AyWLBdI.exe
452	YrGRkZX.exe
768	vDHDWyj.exe
1440	VXsFKRG.exe
4456	eVRBhuh.exe
2956	qFqVOLj.exe
2600	FFGyvlI.exe
4500	MqmgaNU.exe
4532	LxYIzHf.exe
2988	LFhCkFP.exe
4172	KGuBRJe.exe
1084	STOILWD.exe
2668	hVCNsJw.exe
2596	CbpVBHI.exe
1952	pDiHfLw.exe
3300	JtbpAQt.exe
3596	UjQXJmu.exe
3164	yoisJFu.exe
4000	QoVBjzY.exe
2176	nyqrRtE.exe
2524	bHQwBRB.exe
1716	MRjagfw.exe
2416	JpkNnWD.exe
2708	pNLClwv.exe
3736	kLiuxOH.exe
2392	qDhAadW.exe
1648	mBnCHeH.exe
5068	PbTgjvH.exe
1636	qZGVnsg.exe
1608	VwHAZua.exe
1184	kdmvwwE.exe
2452	DwNgZpa.exe
3068	KZcsmxs.exe
368	UpraZMw.exe
1088	xaHSzHu.exe
2464	VDQOylG.exe
1524	JgtXgfF.exe
1644	bAgucju.exe
724	lClgSKI.exe
4588	SztxEwv.exe
4156	qfdEOSZ.exe
316	ZsQfqbS.exe
1512	FXKerMa.exe
4368	ckHTAmU.exe
3224	KRHgFkW.exe
2448	KCHeWrU.exe
2964	GDGldOI.exe
3556	boLCCWD.exe
2124	WKmFkqA.exe
2172	LgvAWMr.exe
716	uebxPfA.exe
1520	MLBKIsB.exe
4672	ZVOwZFb.exe
3704	EfBoHDb.exe
2952	TKXoxAr.exe
3268	LjmzFuu.exe
3048	zPvZakx.exe
440	WRsUQpC.exe
3104	wILkBGL.exe
3560	AKWtqeX.exe
4080	FGDqSyl.exe
3064	hVCZBCx.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/3140-0-0x00007FF65A830000-0x00007FF65AC21000-memory.dmp	upx
behavioral2/files/0x0007000000023507-10.dat	upx
behavioral2/files/0x0009000000023500-12.dat	upx
behavioral2/files/0x0007000000023508-23.dat	upx
behavioral2/files/0x000700000002350b-39.dat	upx
behavioral2/files/0x000700000002350a-34.dat	upx
behavioral2/files/0x000700000002350c-43.dat	upx
behavioral2/memory/768-46-0x00007FF645CD0000-0x00007FF6460C1000-memory.dmp	upx
behavioral2/files/0x000700000002350e-65.dat	upx
behavioral2/files/0x000700000002350f-67.dat	upx
behavioral2/files/0x0007000000023511-73.dat	upx
behavioral2/memory/2988-74-0x00007FF7043B0000-0x00007FF7047A1000-memory.dmp	upx
behavioral2/files/0x0007000000023512-80.dat	upx
behavioral2/memory/1084-84-0x00007FF632D70000-0x00007FF633161000-memory.dmp	upx
behavioral2/memory/4172-79-0x00007FF698610000-0x00007FF698A01000-memory.dmp	upx
behavioral2/memory/4500-76-0x00007FF7E4F20000-0x00007FF7E5311000-memory.dmp	upx
behavioral2/memory/4532-72-0x00007FF725F20000-0x00007FF726311000-memory.dmp	upx
behavioral2/files/0x0007000000023510-70.dat	upx
behavioral2/memory/2600-68-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp	upx
behavioral2/files/0x000700000002350d-55.dat	upx
behavioral2/memory/2956-52-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp	upx
behavioral2/memory/4456-48-0x00007FF705710000-0x00007FF705B01000-memory.dmp	upx
behavioral2/memory/452-42-0x00007FF6748C0000-0x00007FF674CB1000-memory.dmp	upx
behavioral2/memory/1440-45-0x00007FF720EC0000-0x00007FF7212B1000-memory.dmp	upx
behavioral2/memory/3140-87-0x00007FF65A830000-0x00007FF65AC21000-memory.dmp	upx
behavioral2/files/0x0007000000023518-116.dat	upx
behavioral2/files/0x0007000000023517-123.dat	upx
behavioral2/memory/3596-127-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp	upx
behavioral2/files/0x000700000002351a-133.dat	upx
behavioral2/memory/4736-138-0x00007FF65B6F0000-0x00007FF65BAE1000-memory.dmp	upx
behavioral2/memory/2176-147-0x00007FF679DF0000-0x00007FF67A1E1000-memory.dmp	upx
behavioral2/memory/1716-151-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp	upx
behavioral2/memory/2524-154-0x00007FF6B4380000-0x00007FF6B4771000-memory.dmp	upx
behavioral2/files/0x000700000002351e-159.dat	upx
behavioral2/files/0x000700000002351c-149.dat	upx
behavioral2/files/0x000700000002351d-152.dat	upx
behavioral2/files/0x000700000002351b-145.dat	upx
behavioral2/files/0x000700000002351f-162.dat	upx
behavioral2/files/0x0007000000023522-172.dat	upx
behavioral2/files/0x0007000000023524-184.dat	upx
behavioral2/memory/2956-354-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp	upx
behavioral2/memory/2988-357-0x00007FF7043B0000-0x00007FF7047A1000-memory.dmp	upx
behavioral2/memory/4172-588-0x00007FF698610000-0x00007FF698A01000-memory.dmp	upx
behavioral2/memory/3596-1162-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp	upx
behavioral2/memory/1716-1301-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp	upx
behavioral2/memory/2596-1158-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp	upx
behavioral2/memory/2668-989-0x00007FF6BBDF0000-0x00007FF6BC1E1000-memory.dmp	upx
behavioral2/memory/1084-690-0x00007FF632D70000-0x00007FF633161000-memory.dmp	upx
behavioral2/memory/2600-355-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp	upx
behavioral2/files/0x0007000000023525-189.dat	upx
behavioral2/files/0x0007000000023523-179.dat	upx
behavioral2/files/0x0007000000023521-169.dat	upx
behavioral2/memory/3300-143-0x00007FF6BABA0000-0x00007FF6BAF91000-memory.dmp	upx
behavioral2/memory/4000-134-0x00007FF6F23A0000-0x00007FF6F2791000-memory.dmp	upx
behavioral2/memory/3164-131-0x00007FF678110000-0x00007FF678501000-memory.dmp	upx
behavioral2/files/0x0007000000023519-126.dat	upx
behavioral2/files/0x0007000000023516-122.dat	upx
behavioral2/memory/1952-112-0x00007FF6E6F60000-0x00007FF6E7351000-memory.dmp	upx
behavioral2/memory/2596-111-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp	upx
behavioral2/files/0x0007000000023515-102.dat	upx
behavioral2/memory/3952-100-0x00007FF74D390000-0x00007FF74D781000-memory.dmp	upx
behavioral2/memory/3612-98-0x00007FF66DA70000-0x00007FF66DE61000-memory.dmp	upx
behavioral2/files/0x0007000000023513-103.dat	upx
behavioral2/files/0x0008000000023504-99.dat	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\lktcSpK.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\CbpVBHI.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\MWTDTtO.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\qZXcKtV.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\nxOfbpp.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\gkdWYUt.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\jChhzMR.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\ezmHOnP.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\hyfswWs.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\fvMOvQx.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\zyanMTr.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\XXRczQc.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\tSkFCJk.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\aqqJAxW.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\LnFcCxP.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\AQSlvkm.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\JpkNnWD.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\aIYdMkp.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\gJMaabV.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\tNLXnOs.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\fhhdyOT.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\UjQXJmu.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\FXKerMa.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\xfHmfBs.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\IVfLccg.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\kzzfUeb.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\bJZQpfW.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\MynFTnY.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\bwjhxVD.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\GyTnlkc.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\NLSkork.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\KWWoTrE.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\YZFpuiD.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\xcvYbGs.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\hVCNsJw.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\qDhAadW.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\ckBbShL.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\CkIvVTk.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\ehtOPbV.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\woZnXKR.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\kdmvwwE.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\QbczzsA.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\WrZmHYp.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\zOQnlqA.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\lAbPRPU.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\vcOPZpS.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\zrludRU.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\bOJdiQB.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\DwfFmxJ.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\jENAUrZ.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\coIDAsC.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\cNNNqlA.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\ZVOwZFb.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\bzzxKoK.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\ZwZUDVR.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\dihzdkX.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\nIghIHi.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\WJVgXVz.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\QBJyYUZ.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\DNVZfzG.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\BMFJuQl.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\lNIjVCD.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\qnoDTLc.exe	f0b735e9921c713ec6347adca2af6a90N.exe
File created	C:\Windows\System32\GSAyVYY.exe	f0b735e9921c713ec6347adca2af6a90N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13460	dwm.exe
Token: SeChangeNotifyPrivilege	13460	dwm.exe
Token: 33	13460	dwm.exe
Token: SeIncBasePriorityPrivilege	13460	dwm.exe
Token: SeShutdownPrivilege	13460	dwm.exe
Token: SeCreatePagefilePrivilege	13460	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3140 wrote to memory of 3612	3140	f0b735e9921c713ec6347adca2af6a90N.exe	85
PID 3140 wrote to memory of 3612	3140	f0b735e9921c713ec6347adca2af6a90N.exe	85
PID 3140 wrote to memory of 3952	3140	f0b735e9921c713ec6347adca2af6a90N.exe	86
PID 3140 wrote to memory of 3952	3140	f0b735e9921c713ec6347adca2af6a90N.exe	86
PID 3140 wrote to memory of 4736	3140	f0b735e9921c713ec6347adca2af6a90N.exe	87
PID 3140 wrote to memory of 4736	3140	f0b735e9921c713ec6347adca2af6a90N.exe	87
PID 3140 wrote to memory of 452	3140	f0b735e9921c713ec6347adca2af6a90N.exe	88
PID 3140 wrote to memory of 452	3140	f0b735e9921c713ec6347adca2af6a90N.exe	88
PID 3140 wrote to memory of 768	3140	f0b735e9921c713ec6347adca2af6a90N.exe	89
PID 3140 wrote to memory of 768	3140	f0b735e9921c713ec6347adca2af6a90N.exe	89
PID 3140 wrote to memory of 1440	3140	f0b735e9921c713ec6347adca2af6a90N.exe	90
PID 3140 wrote to memory of 1440	3140	f0b735e9921c713ec6347adca2af6a90N.exe	90
PID 3140 wrote to memory of 4456	3140	f0b735e9921c713ec6347adca2af6a90N.exe	91
PID 3140 wrote to memory of 4456	3140	f0b735e9921c713ec6347adca2af6a90N.exe	91
PID 3140 wrote to memory of 2956	3140	f0b735e9921c713ec6347adca2af6a90N.exe	92
PID 3140 wrote to memory of 2956	3140	f0b735e9921c713ec6347adca2af6a90N.exe	92
PID 3140 wrote to memory of 2600	3140	f0b735e9921c713ec6347adca2af6a90N.exe	93
PID 3140 wrote to memory of 2600	3140	f0b735e9921c713ec6347adca2af6a90N.exe	93
PID 3140 wrote to memory of 4500	3140	f0b735e9921c713ec6347adca2af6a90N.exe	94
PID 3140 wrote to memory of 4500	3140	f0b735e9921c713ec6347adca2af6a90N.exe	94
PID 3140 wrote to memory of 4532	3140	f0b735e9921c713ec6347adca2af6a90N.exe	95
PID 3140 wrote to memory of 4532	3140	f0b735e9921c713ec6347adca2af6a90N.exe	95
PID 3140 wrote to memory of 2988	3140	f0b735e9921c713ec6347adca2af6a90N.exe	96
PID 3140 wrote to memory of 2988	3140	f0b735e9921c713ec6347adca2af6a90N.exe	96
PID 3140 wrote to memory of 4172	3140	f0b735e9921c713ec6347adca2af6a90N.exe	97
PID 3140 wrote to memory of 4172	3140	f0b735e9921c713ec6347adca2af6a90N.exe	97
PID 3140 wrote to memory of 1084	3140	f0b735e9921c713ec6347adca2af6a90N.exe	98
PID 3140 wrote to memory of 1084	3140	f0b735e9921c713ec6347adca2af6a90N.exe	98
PID 3140 wrote to memory of 2668	3140	f0b735e9921c713ec6347adca2af6a90N.exe	99
PID 3140 wrote to memory of 2668	3140	f0b735e9921c713ec6347adca2af6a90N.exe	99
PID 3140 wrote to memory of 2596	3140	f0b735e9921c713ec6347adca2af6a90N.exe	100
PID 3140 wrote to memory of 2596	3140	f0b735e9921c713ec6347adca2af6a90N.exe	100
PID 3140 wrote to memory of 1952	3140	f0b735e9921c713ec6347adca2af6a90N.exe	101
PID 3140 wrote to memory of 1952	3140	f0b735e9921c713ec6347adca2af6a90N.exe	101
PID 3140 wrote to memory of 3300	3140	f0b735e9921c713ec6347adca2af6a90N.exe	102
PID 3140 wrote to memory of 3300	3140	f0b735e9921c713ec6347adca2af6a90N.exe	102
PID 3140 wrote to memory of 3596	3140	f0b735e9921c713ec6347adca2af6a90N.exe	103
PID 3140 wrote to memory of 3596	3140	f0b735e9921c713ec6347adca2af6a90N.exe	103
PID 3140 wrote to memory of 3164	3140	f0b735e9921c713ec6347adca2af6a90N.exe	104
PID 3140 wrote to memory of 3164	3140	f0b735e9921c713ec6347adca2af6a90N.exe	104
PID 3140 wrote to memory of 4000	3140	f0b735e9921c713ec6347adca2af6a90N.exe	105
PID 3140 wrote to memory of 4000	3140	f0b735e9921c713ec6347adca2af6a90N.exe	105
PID 3140 wrote to memory of 2176	3140	f0b735e9921c713ec6347adca2af6a90N.exe	106
PID 3140 wrote to memory of 2176	3140	f0b735e9921c713ec6347adca2af6a90N.exe	106
PID 3140 wrote to memory of 2524	3140	f0b735e9921c713ec6347adca2af6a90N.exe	107
PID 3140 wrote to memory of 2524	3140	f0b735e9921c713ec6347adca2af6a90N.exe	107
PID 3140 wrote to memory of 1716	3140	f0b735e9921c713ec6347adca2af6a90N.exe	108
PID 3140 wrote to memory of 1716	3140	f0b735e9921c713ec6347adca2af6a90N.exe	108
PID 3140 wrote to memory of 2416	3140	f0b735e9921c713ec6347adca2af6a90N.exe	109
PID 3140 wrote to memory of 2416	3140	f0b735e9921c713ec6347adca2af6a90N.exe	109
PID 3140 wrote to memory of 2708	3140	f0b735e9921c713ec6347adca2af6a90N.exe	110
PID 3140 wrote to memory of 2708	3140	f0b735e9921c713ec6347adca2af6a90N.exe	110
PID 3140 wrote to memory of 3736	3140	f0b735e9921c713ec6347adca2af6a90N.exe	111
PID 3140 wrote to memory of 3736	3140	f0b735e9921c713ec6347adca2af6a90N.exe	111
PID 3140 wrote to memory of 2392	3140	f0b735e9921c713ec6347adca2af6a90N.exe	113
PID 3140 wrote to memory of 2392	3140	f0b735e9921c713ec6347adca2af6a90N.exe	113
PID 3140 wrote to memory of 1648	3140	f0b735e9921c713ec6347adca2af6a90N.exe	114
PID 3140 wrote to memory of 1648	3140	f0b735e9921c713ec6347adca2af6a90N.exe	114
PID 3140 wrote to memory of 5068	3140	f0b735e9921c713ec6347adca2af6a90N.exe	115
PID 3140 wrote to memory of 5068	3140	f0b735e9921c713ec6347adca2af6a90N.exe	115
PID 3140 wrote to memory of 1636	3140	f0b735e9921c713ec6347adca2af6a90N.exe	116
PID 3140 wrote to memory of 1636	3140	f0b735e9921c713ec6347adca2af6a90N.exe	116
PID 3140 wrote to memory of 1608	3140	f0b735e9921c713ec6347adca2af6a90N.exe	117
PID 3140 wrote to memory of 1608	3140	f0b735e9921c713ec6347adca2af6a90N.exe	117

C:\Users\Admin\AppData\Local\Temp\f0b735e9921c713ec6347adca2af6a90N.exe
"C:\Users\Admin\AppData\Local\Temp\f0b735e9921c713ec6347adca2af6a90N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3140
- C:\Windows\System32\giOnMcs.exe
  C:\Windows\System32\giOnMcs.exe
  2⤵
  - Executes dropped EXE
  PID:3612
- C:\Windows\System32\RPeZNKR.exe
  C:\Windows\System32\RPeZNKR.exe
  2⤵
  - Executes dropped EXE
  PID:3952
- C:\Windows\System32\AyWLBdI.exe
  C:\Windows\System32\AyWLBdI.exe
  2⤵
  - Executes dropped EXE
  PID:4736
- C:\Windows\System32\YrGRkZX.exe
  C:\Windows\System32\YrGRkZX.exe
  2⤵
  - Executes dropped EXE
  PID:452
- C:\Windows\System32\vDHDWyj.exe
  C:\Windows\System32\vDHDWyj.exe
  2⤵
  - Executes dropped EXE
  PID:768
- C:\Windows\System32\VXsFKRG.exe
  C:\Windows\System32\VXsFKRG.exe
  2⤵
  - Executes dropped EXE
  PID:1440
- C:\Windows\System32\eVRBhuh.exe
  C:\Windows\System32\eVRBhuh.exe
  2⤵
  - Executes dropped EXE
  PID:4456
- C:\Windows\System32\qFqVOLj.exe
  C:\Windows\System32\qFqVOLj.exe
  2⤵
  - Executes dropped EXE
  PID:2956
- C:\Windows\System32\FFGyvlI.exe
  C:\Windows\System32\FFGyvlI.exe
  2⤵
  - Executes dropped EXE
  PID:2600
- C:\Windows\System32\MqmgaNU.exe
  C:\Windows\System32\MqmgaNU.exe
  2⤵
  - Executes dropped EXE
  PID:4500
- C:\Windows\System32\LxYIzHf.exe
  C:\Windows\System32\LxYIzHf.exe
  2⤵
  - Executes dropped EXE
  PID:4532
- C:\Windows\System32\LFhCkFP.exe
  C:\Windows\System32\LFhCkFP.exe
  2⤵
  - Executes dropped EXE
  PID:2988
- C:\Windows\System32\KGuBRJe.exe
  C:\Windows\System32\KGuBRJe.exe
  2⤵
  - Executes dropped EXE
  PID:4172
- C:\Windows\System32\STOILWD.exe
  C:\Windows\System32\STOILWD.exe
  2⤵
  - Executes dropped EXE
  PID:1084
- C:\Windows\System32\hVCNsJw.exe
  C:\Windows\System32\hVCNsJw.exe
  2⤵
  - Executes dropped EXE
  PID:2668
- C:\Windows\System32\CbpVBHI.exe
  C:\Windows\System32\CbpVBHI.exe
  2⤵
  - Executes dropped EXE
  PID:2596
- C:\Windows\System32\pDiHfLw.exe
  C:\Windows\System32\pDiHfLw.exe
  2⤵
  - Executes dropped EXE
  PID:1952
- C:\Windows\System32\JtbpAQt.exe
  C:\Windows\System32\JtbpAQt.exe
  2⤵
  - Executes dropped EXE
  PID:3300
- C:\Windows\System32\UjQXJmu.exe
  C:\Windows\System32\UjQXJmu.exe
  2⤵
  - Executes dropped EXE
  PID:3596
- C:\Windows\System32\yoisJFu.exe
  C:\Windows\System32\yoisJFu.exe
  2⤵
  - Executes dropped EXE
  PID:3164
- C:\Windows\System32\QoVBjzY.exe
  C:\Windows\System32\QoVBjzY.exe
  2⤵
  - Executes dropped EXE
  PID:4000
- C:\Windows\System32\nyqrRtE.exe
  C:\Windows\System32\nyqrRtE.exe
  2⤵
  - Executes dropped EXE
  PID:2176
- C:\Windows\System32\bHQwBRB.exe
  C:\Windows\System32\bHQwBRB.exe
  2⤵
  - Executes dropped EXE
  PID:2524
- C:\Windows\System32\MRjagfw.exe
  C:\Windows\System32\MRjagfw.exe
  2⤵
  - Executes dropped EXE
  PID:1716
- C:\Windows\System32\JpkNnWD.exe
  C:\Windows\System32\JpkNnWD.exe
  2⤵
  - Executes dropped EXE
  PID:2416
- C:\Windows\System32\pNLClwv.exe
  C:\Windows\System32\pNLClwv.exe
  2⤵
  - Executes dropped EXE
  PID:2708
- C:\Windows\System32\kLiuxOH.exe
  C:\Windows\System32\kLiuxOH.exe
  2⤵
  - Executes dropped EXE
  PID:3736
- C:\Windows\System32\qDhAadW.exe
  C:\Windows\System32\qDhAadW.exe
  2⤵
  - Executes dropped EXE
  PID:2392
- C:\Windows\System32\mBnCHeH.exe
  C:\Windows\System32\mBnCHeH.exe
  2⤵
  - Executes dropped EXE
  PID:1648
- C:\Windows\System32\PbTgjvH.exe
  C:\Windows\System32\PbTgjvH.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\qZGVnsg.exe
  C:\Windows\System32\qZGVnsg.exe
  2⤵
  - Executes dropped EXE
  PID:1636
- C:\Windows\System32\VwHAZua.exe
  C:\Windows\System32\VwHAZua.exe
  2⤵
  - Executes dropped EXE
  PID:1608
- C:\Windows\System32\kdmvwwE.exe
  C:\Windows\System32\kdmvwwE.exe
  2⤵
  - Executes dropped EXE
  PID:1184
- C:\Windows\System32\DwNgZpa.exe
  C:\Windows\System32\DwNgZpa.exe
  2⤵
  - Executes dropped EXE
  PID:2452
- C:\Windows\System32\KZcsmxs.exe
  C:\Windows\System32\KZcsmxs.exe
  2⤵
  - Executes dropped EXE
  PID:3068
- C:\Windows\System32\UpraZMw.exe
  C:\Windows\System32\UpraZMw.exe
  2⤵
  - Executes dropped EXE
  PID:368
- C:\Windows\System32\xaHSzHu.exe
  C:\Windows\System32\xaHSzHu.exe
  2⤵
  - Executes dropped EXE
  PID:1088
- C:\Windows\System32\VDQOylG.exe
  C:\Windows\System32\VDQOylG.exe
  2⤵
  - Executes dropped EXE
  PID:2464
- C:\Windows\System32\JgtXgfF.exe
  C:\Windows\System32\JgtXgfF.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\bAgucju.exe
  C:\Windows\System32\bAgucju.exe
  2⤵
  - Executes dropped EXE
  PID:1644
- C:\Windows\System32\lClgSKI.exe
  C:\Windows\System32\lClgSKI.exe
  2⤵
  - Executes dropped EXE
  PID:724
- C:\Windows\System32\SztxEwv.exe
  C:\Windows\System32\SztxEwv.exe
  2⤵
  - Executes dropped EXE
  PID:4588
- C:\Windows\System32\qfdEOSZ.exe
  C:\Windows\System32\qfdEOSZ.exe
  2⤵
  - Executes dropped EXE
  PID:4156
- C:\Windows\System32\ZsQfqbS.exe
  C:\Windows\System32\ZsQfqbS.exe
  2⤵
  - Executes dropped EXE
  PID:316
- C:\Windows\System32\FXKerMa.exe
  C:\Windows\System32\FXKerMa.exe
  2⤵
  - Executes dropped EXE
  PID:1512
- C:\Windows\System32\ckHTAmU.exe
  C:\Windows\System32\ckHTAmU.exe
  2⤵
  - Executes dropped EXE
  PID:4368
- C:\Windows\System32\KRHgFkW.exe
  C:\Windows\System32\KRHgFkW.exe
  2⤵
  - Executes dropped EXE
  PID:3224
- C:\Windows\System32\KCHeWrU.exe
  C:\Windows\System32\KCHeWrU.exe
  2⤵
  - Executes dropped EXE
  PID:2448
- C:\Windows\System32\GDGldOI.exe
  C:\Windows\System32\GDGldOI.exe
  2⤵
  - Executes dropped EXE
  PID:2964
- C:\Windows\System32\boLCCWD.exe
  C:\Windows\System32\boLCCWD.exe
  2⤵
  - Executes dropped EXE
  PID:3556
- C:\Windows\System32\WKmFkqA.exe
  C:\Windows\System32\WKmFkqA.exe
  2⤵
  - Executes dropped EXE
  PID:2124
- C:\Windows\System32\LgvAWMr.exe
  C:\Windows\System32\LgvAWMr.exe
  2⤵
  - Executes dropped EXE
  PID:2172
- C:\Windows\System32\uebxPfA.exe
  C:\Windows\System32\uebxPfA.exe
  2⤵
  - Executes dropped EXE
  PID:716
- C:\Windows\System32\MLBKIsB.exe
  C:\Windows\System32\MLBKIsB.exe
  2⤵
  - Executes dropped EXE
  PID:1520
- C:\Windows\System32\ZVOwZFb.exe
  C:\Windows\System32\ZVOwZFb.exe
  2⤵
  - Executes dropped EXE
  PID:4672
- C:\Windows\System32\EfBoHDb.exe
  C:\Windows\System32\EfBoHDb.exe
  2⤵
  - Executes dropped EXE
  PID:3704
- C:\Windows\System32\TKXoxAr.exe
  C:\Windows\System32\TKXoxAr.exe
  2⤵
  - Executes dropped EXE
  PID:2952
- C:\Windows\System32\LjmzFuu.exe
  C:\Windows\System32\LjmzFuu.exe
  2⤵
  - Executes dropped EXE
  PID:3268
- C:\Windows\System32\zPvZakx.exe
  C:\Windows\System32\zPvZakx.exe
  2⤵
  - Executes dropped EXE
  PID:3048
- C:\Windows\System32\WRsUQpC.exe
  C:\Windows\System32\WRsUQpC.exe
  2⤵
  - Executes dropped EXE
  PID:440
- C:\Windows\System32\wILkBGL.exe
  C:\Windows\System32\wILkBGL.exe
  2⤵
  - Executes dropped EXE
  PID:3104
- C:\Windows\System32\AKWtqeX.exe
  C:\Windows\System32\AKWtqeX.exe
  2⤵
  - Executes dropped EXE
  PID:3560
- C:\Windows\System32\FGDqSyl.exe
  C:\Windows\System32\FGDqSyl.exe
  2⤵
  - Executes dropped EXE
  PID:4080
- C:\Windows\System32\hVCZBCx.exe
  C:\Windows\System32\hVCZBCx.exe
  2⤵
  - Executes dropped EXE
  PID:3064
- C:\Windows\System32\mISwCrB.exe
  C:\Windows\System32\mISwCrB.exe
  2⤵
  PID:1756
- C:\Windows\System32\BjtyVEJ.exe
  C:\Windows\System32\BjtyVEJ.exe
  2⤵
  PID:3816
- C:\Windows\System32\bTrLBti.exe
  C:\Windows\System32\bTrLBti.exe
  2⤵
  PID:840
- C:\Windows\System32\yTQUkqN.exe
  C:\Windows\System32\yTQUkqN.exe
  2⤵
  PID:5092
- C:\Windows\System32\MyrLcos.exe
  C:\Windows\System32\MyrLcos.exe
  2⤵
  PID:2632
- C:\Windows\System32\ssBjZMT.exe
  C:\Windows\System32\ssBjZMT.exe
  2⤵
  PID:2336
- C:\Windows\System32\yvcFgGg.exe
  C:\Windows\System32\yvcFgGg.exe
  2⤵
  PID:3716
- C:\Windows\System32\ivtQHeb.exe
  C:\Windows\System32\ivtQHeb.exe
  2⤵
  PID:4728
- C:\Windows\System32\lgdwSKF.exe
  C:\Windows\System32\lgdwSKF.exe
  2⤵
  PID:2096
- C:\Windows\System32\hHRzyiT.exe
  C:\Windows\System32\hHRzyiT.exe
  2⤵
  PID:3084
- C:\Windows\System32\MaGBYBm.exe
  C:\Windows\System32\MaGBYBm.exe
  2⤵
  PID:1100
- C:\Windows\System32\Bhnnvbe.exe
  C:\Windows\System32\Bhnnvbe.exe
  2⤵
  PID:3720
- C:\Windows\System32\USyeDRv.exe
  C:\Windows\System32\USyeDRv.exe
  2⤵
  PID:2104
- C:\Windows\System32\mzFHuRP.exe
  C:\Windows\System32\mzFHuRP.exe
  2⤵
  PID:1860
- C:\Windows\System32\xamCuUK.exe
  C:\Windows\System32\xamCuUK.exe
  2⤵
  PID:4628
- C:\Windows\System32\CgbPpKf.exe
  C:\Windows\System32\CgbPpKf.exe
  2⤵
  PID:3760
- C:\Windows\System32\vibJZKz.exe
  C:\Windows\System32\vibJZKz.exe
  2⤵
  PID:1136
- C:\Windows\System32\ZcEfWQD.exe
  C:\Windows\System32\ZcEfWQD.exe
  2⤵
  PID:4544
- C:\Windows\System32\hyfswWs.exe
  C:\Windows\System32\hyfswWs.exe
  2⤵
  PID:4076
- C:\Windows\System32\iLDeYrv.exe
  C:\Windows\System32\iLDeYrv.exe
  2⤵
  PID:1616
- C:\Windows\System32\HiKgFKu.exe
  C:\Windows\System32\HiKgFKu.exe
  2⤵
  PID:2584
- C:\Windows\System32\lTzfhDL.exe
  C:\Windows\System32\lTzfhDL.exe
  2⤵
  PID:2756
- C:\Windows\System32\PohOJVr.exe
  C:\Windows\System32\PohOJVr.exe
  2⤵
  PID:3448
- C:\Windows\System32\bzzxKoK.exe
  C:\Windows\System32\bzzxKoK.exe
  2⤵
  PID:4036
- C:\Windows\System32\npxGyrv.exe
  C:\Windows\System32\npxGyrv.exe
  2⤵
  PID:3020
- C:\Windows\System32\fvMOvQx.exe
  C:\Windows\System32\fvMOvQx.exe
  2⤵
  PID:4192
- C:\Windows\System32\qxuLHEp.exe
  C:\Windows\System32\qxuLHEp.exe
  2⤵
  PID:4420
- C:\Windows\System32\RURjrAf.exe
  C:\Windows\System32\RURjrAf.exe
  2⤵
  PID:4596
- C:\Windows\System32\EQZydsC.exe
  C:\Windows\System32\EQZydsC.exe
  2⤵
  PID:3080
- C:\Windows\System32\YlIRTvu.exe
  C:\Windows\System32\YlIRTvu.exe
  2⤵
  PID:736
- C:\Windows\System32\mbHGwnD.exe
  C:\Windows\System32\mbHGwnD.exe
  2⤵
  PID:5076
- C:\Windows\System32\EstwRKj.exe
  C:\Windows\System32\EstwRKj.exe
  2⤵
  PID:1972
- C:\Windows\System32\HbuoYYT.exe
  C:\Windows\System32\HbuoYYT.exe
  2⤵
  PID:3424
- C:\Windows\System32\uAFnRpQ.exe
  C:\Windows\System32\uAFnRpQ.exe
  2⤵
  PID:4104
- C:\Windows\System32\nnuRVHM.exe
  C:\Windows\System32\nnuRVHM.exe
  2⤵
  PID:5136
- C:\Windows\System32\bxtioTD.exe
  C:\Windows\System32\bxtioTD.exe
  2⤵
  PID:5168
- C:\Windows\System32\hcSCXha.exe
  C:\Windows\System32\hcSCXha.exe
  2⤵
  PID:5188
- C:\Windows\System32\ZwZUDVR.exe
  C:\Windows\System32\ZwZUDVR.exe
  2⤵
  PID:5204
- C:\Windows\System32\ABRpHmA.exe
  C:\Windows\System32\ABRpHmA.exe
  2⤵
  PID:5268
- C:\Windows\System32\pPQTkZs.exe
  C:\Windows\System32\pPQTkZs.exe
  2⤵
  PID:5288
- C:\Windows\System32\RvuVJtc.exe
  C:\Windows\System32\RvuVJtc.exe
  2⤵
  PID:5320
- C:\Windows\System32\EXyYVti.exe
  C:\Windows\System32\EXyYVti.exe
  2⤵
  PID:5336
- C:\Windows\System32\HPpsMok.exe
  C:\Windows\System32\HPpsMok.exe
  2⤵
  PID:5360
- C:\Windows\System32\veUWWIk.exe
  C:\Windows\System32\veUWWIk.exe
  2⤵
  PID:5376
- C:\Windows\System32\JzroMCB.exe
  C:\Windows\System32\JzroMCB.exe
  2⤵
  PID:5424
- C:\Windows\System32\TKjtjsv.exe
  C:\Windows\System32\TKjtjsv.exe
  2⤵
  PID:5444
- C:\Windows\System32\zyPZJgE.exe
  C:\Windows\System32\zyPZJgE.exe
  2⤵
  PID:5464
- C:\Windows\System32\ayczUjg.exe
  C:\Windows\System32\ayczUjg.exe
  2⤵
  PID:5492
- C:\Windows\System32\djrPxuE.exe
  C:\Windows\System32\djrPxuE.exe
  2⤵
  PID:5548
- C:\Windows\System32\hYYlDQS.exe
  C:\Windows\System32\hYYlDQS.exe
  2⤵
  PID:5592
- C:\Windows\System32\JmfISoo.exe
  C:\Windows\System32\JmfISoo.exe
  2⤵
  PID:5616
- C:\Windows\System32\NTIaIka.exe
  C:\Windows\System32\NTIaIka.exe
  2⤵
  PID:5640
- C:\Windows\System32\lzanjWa.exe
  C:\Windows\System32\lzanjWa.exe
  2⤵
  PID:5656
- C:\Windows\System32\rdKGyjV.exe
  C:\Windows\System32\rdKGyjV.exe
  2⤵
  PID:5704
- C:\Windows\System32\QopRtld.exe
  C:\Windows\System32\QopRtld.exe
  2⤵
  PID:5724
- C:\Windows\System32\WyWoJeP.exe
  C:\Windows\System32\WyWoJeP.exe
  2⤵
  PID:5764
- C:\Windows\System32\QUOviYm.exe
  C:\Windows\System32\QUOviYm.exe
  2⤵
  PID:5784
- C:\Windows\System32\tsWDPCA.exe
  C:\Windows\System32\tsWDPCA.exe
  2⤵
  PID:5824
- C:\Windows\System32\lUyuNyP.exe
  C:\Windows\System32\lUyuNyP.exe
  2⤵
  PID:5852
- C:\Windows\System32\kZqOdrK.exe
  C:\Windows\System32\kZqOdrK.exe
  2⤵
  PID:5880
- C:\Windows\System32\gJtdXFQ.exe
  C:\Windows\System32\gJtdXFQ.exe
  2⤵
  PID:5900
- C:\Windows\System32\IeAFTdU.exe
  C:\Windows\System32\IeAFTdU.exe
  2⤵
  PID:5940
- C:\Windows\System32\lggQqyB.exe
  C:\Windows\System32\lggQqyB.exe
  2⤵
  PID:5964
- C:\Windows\System32\kILJiqF.exe
  C:\Windows\System32\kILJiqF.exe
  2⤵
  PID:5980
- C:\Windows\System32\DiVBEAw.exe
  C:\Windows\System32\DiVBEAw.exe
  2⤵
  PID:6012
- C:\Windows\System32\agiHhak.exe
  C:\Windows\System32\agiHhak.exe
  2⤵
  PID:6036
- C:\Windows\System32\qJZJQWY.exe
  C:\Windows\System32\qJZJQWY.exe
  2⤵
  PID:6052
- C:\Windows\System32\HLJYKON.exe
  C:\Windows\System32\HLJYKON.exe
  2⤵
  PID:6076
- C:\Windows\System32\ZUVWBOd.exe
  C:\Windows\System32\ZUVWBOd.exe
  2⤵
  PID:6100
- C:\Windows\System32\BAlqNcL.exe
  C:\Windows\System32\BAlqNcL.exe
  2⤵
  PID:6140
- C:\Windows\System32\suyOcjy.exe
  C:\Windows\System32\suyOcjy.exe
  2⤵
  PID:5128
- C:\Windows\System32\ZIdizGz.exe
  C:\Windows\System32\ZIdizGz.exe
  2⤵
  PID:5164
- C:\Windows\System32\pWoQhMc.exe
  C:\Windows\System32\pWoQhMc.exe
  2⤵
  PID:5232
- C:\Windows\System32\iGltQbW.exe
  C:\Windows\System32\iGltQbW.exe
  2⤵
  PID:5352
- C:\Windows\System32\hiBIzbJ.exe
  C:\Windows\System32\hiBIzbJ.exe
  2⤵
  PID:5404
- C:\Windows\System32\DNVZfzG.exe
  C:\Windows\System32\DNVZfzG.exe
  2⤵
  PID:5484
- C:\Windows\System32\uPQlIsz.exe
  C:\Windows\System32\uPQlIsz.exe
  2⤵
  PID:5476
- C:\Windows\System32\UWbcFfl.exe
  C:\Windows\System32\UWbcFfl.exe
  2⤵
  PID:5536
- C:\Windows\System32\TrJfIRV.exe
  C:\Windows\System32\TrJfIRV.exe
  2⤵
  PID:5608
- C:\Windows\System32\STigotj.exe
  C:\Windows\System32\STigotj.exe
  2⤵
  PID:5628
- C:\Windows\System32\fZIjTWX.exe
  C:\Windows\System32\fZIjTWX.exe
  2⤵
  PID:1160
- C:\Windows\System32\eJyjVQo.exe
  C:\Windows\System32\eJyjVQo.exe
  2⤵
  PID:5520
- C:\Windows\System32\eOhRZqS.exe
  C:\Windows\System32\eOhRZqS.exe
  2⤵
  PID:5820
- C:\Windows\System32\pePREcK.exe
  C:\Windows\System32\pePREcK.exe
  2⤵
  PID:5888
- C:\Windows\System32\MHIuFxj.exe
  C:\Windows\System32\MHIuFxj.exe
  2⤵
  PID:6004
- C:\Windows\System32\StIDATc.exe
  C:\Windows\System32\StIDATc.exe
  2⤵
  PID:6044
- C:\Windows\System32\GthhOPL.exe
  C:\Windows\System32\GthhOPL.exe
  2⤵
  PID:6132
- C:\Windows\System32\rjNOXhF.exe
  C:\Windows\System32\rjNOXhF.exe
  2⤵
  PID:6128
- C:\Windows\System32\rKuQLao.exe
  C:\Windows\System32\rKuQLao.exe
  2⤵
  PID:5304
- C:\Windows\System32\WmrtGMX.exe
  C:\Windows\System32\WmrtGMX.exe
  2⤵
  PID:5356
- C:\Windows\System32\pmHQwBP.exe
  C:\Windows\System32\pmHQwBP.exe
  2⤵
  PID:5588
- C:\Windows\System32\jetHYta.exe
  C:\Windows\System32\jetHYta.exe
  2⤵
  PID:5632
- C:\Windows\System32\ipQpKJQ.exe
  C:\Windows\System32\ipQpKJQ.exe
  2⤵
  PID:5868
- C:\Windows\System32\vyEssoW.exe
  C:\Windows\System32\vyEssoW.exe
  2⤵
  PID:6024
- C:\Windows\System32\kVwZnbf.exe
  C:\Windows\System32\kVwZnbf.exe
  2⤵
  PID:5896
- C:\Windows\System32\vKxgvqX.exe
  C:\Windows\System32\vKxgvqX.exe
  2⤵
  PID:6072
- C:\Windows\System32\BtpiwSn.exe
  C:\Windows\System32\BtpiwSn.exe
  2⤵
  PID:5276
- C:\Windows\System32\xvHeQld.exe
  C:\Windows\System32\xvHeQld.exe
  2⤵
  PID:5668
- C:\Windows\System32\QjMFjJQ.exe
  C:\Windows\System32\QjMFjJQ.exe
  2⤵
  PID:5976
- C:\Windows\System32\aFeWPfP.exe
  C:\Windows\System32\aFeWPfP.exe
  2⤵
  PID:6092
- C:\Windows\System32\eFrBZnz.exe
  C:\Windows\System32\eFrBZnz.exe
  2⤵
  PID:6160
- C:\Windows\System32\TwRMNnh.exe
  C:\Windows\System32\TwRMNnh.exe
  2⤵
  PID:6188
- C:\Windows\System32\tiqNbio.exe
  C:\Windows\System32\tiqNbio.exe
  2⤵
  PID:6208
- C:\Windows\System32\fZZekqi.exe
  C:\Windows\System32\fZZekqi.exe
  2⤵
  PID:6236
- C:\Windows\System32\YHnwdLh.exe
  C:\Windows\System32\YHnwdLh.exe
  2⤵
  PID:6292
- C:\Windows\System32\hxaeomc.exe
  C:\Windows\System32\hxaeomc.exe
  2⤵
  PID:6320
- C:\Windows\System32\pqfDlbj.exe
  C:\Windows\System32\pqfDlbj.exe
  2⤵
  PID:6340
- C:\Windows\System32\ocwHOcI.exe
  C:\Windows\System32\ocwHOcI.exe
  2⤵
  PID:6368
- C:\Windows\System32\aeVZjvz.exe
  C:\Windows\System32\aeVZjvz.exe
  2⤵
  PID:6408
- C:\Windows\System32\dgbkDos.exe
  C:\Windows\System32\dgbkDos.exe
  2⤵
  PID:6424
- C:\Windows\System32\jPOLteQ.exe
  C:\Windows\System32\jPOLteQ.exe
  2⤵
  PID:6452
- C:\Windows\System32\uYWsgGr.exe
  C:\Windows\System32\uYWsgGr.exe
  2⤵
  PID:6468
- C:\Windows\System32\zeDamzp.exe
  C:\Windows\System32\zeDamzp.exe
  2⤵
  PID:6492
- C:\Windows\System32\cSrXmmp.exe
  C:\Windows\System32\cSrXmmp.exe
  2⤵
  PID:6552
- C:\Windows\System32\NfhaPbD.exe
  C:\Windows\System32\NfhaPbD.exe
  2⤵
  PID:6580
- C:\Windows\System32\xHUipFt.exe
  C:\Windows\System32\xHUipFt.exe
  2⤵
  PID:6620
- C:\Windows\System32\qyPZcpX.exe
  C:\Windows\System32\qyPZcpX.exe
  2⤵
  PID:6636
- C:\Windows\System32\ZWfLUYa.exe
  C:\Windows\System32\ZWfLUYa.exe
  2⤵
  PID:6660
- C:\Windows\System32\KbHXaWr.exe
  C:\Windows\System32\KbHXaWr.exe
  2⤵
  PID:6704
- C:\Windows\System32\AvVvxtj.exe
  C:\Windows\System32\AvVvxtj.exe
  2⤵
  PID:6736
- C:\Windows\System32\TLtECqK.exe
  C:\Windows\System32\TLtECqK.exe
  2⤵
  PID:6756
- C:\Windows\System32\AObNsuq.exe
  C:\Windows\System32\AObNsuq.exe
  2⤵
  PID:6780
- C:\Windows\System32\wXuubPx.exe
  C:\Windows\System32\wXuubPx.exe
  2⤵
  PID:6804
- C:\Windows\System32\mpAZeTo.exe
  C:\Windows\System32\mpAZeTo.exe
  2⤵
  PID:6848
- C:\Windows\System32\JndaXkM.exe
  C:\Windows\System32\JndaXkM.exe
  2⤵
  PID:6868
- C:\Windows\System32\PWanDBT.exe
  C:\Windows\System32\PWanDBT.exe
  2⤵
  PID:6896
- C:\Windows\System32\pScbjwm.exe
  C:\Windows\System32\pScbjwm.exe
  2⤵
  PID:6924
- C:\Windows\System32\kNCoirZ.exe
  C:\Windows\System32\kNCoirZ.exe
  2⤵
  PID:6952
- C:\Windows\System32\WYJPknB.exe
  C:\Windows\System32\WYJPknB.exe
  2⤵
  PID:7008
- C:\Windows\System32\DUNjitO.exe
  C:\Windows\System32\DUNjitO.exe
  2⤵
  PID:7024
- C:\Windows\System32\OysPiuZ.exe
  C:\Windows\System32\OysPiuZ.exe
  2⤵
  PID:7056
- C:\Windows\System32\TbSlwXO.exe
  C:\Windows\System32\TbSlwXO.exe
  2⤵
  PID:7084
- C:\Windows\System32\aIYdMkp.exe
  C:\Windows\System32\aIYdMkp.exe
  2⤵
  PID:7104
- C:\Windows\System32\QJYvRfg.exe
  C:\Windows\System32\QJYvRfg.exe
  2⤵
  PID:7124
- C:\Windows\System32\gdgQEDd.exe
  C:\Windows\System32\gdgQEDd.exe
  2⤵
  PID:3504
- C:\Windows\System32\OCwbulb.exe
  C:\Windows\System32\OCwbulb.exe
  2⤵
  PID:6156
- C:\Windows\System32\LBOJxZQ.exe
  C:\Windows\System32\LBOJxZQ.exe
  2⤵
  PID:6228
- C:\Windows\System32\RTbfhAR.exe
  C:\Windows\System32\RTbfhAR.exe
  2⤵
  PID:6316
- C:\Windows\System32\voNXRCE.exe
  C:\Windows\System32\voNXRCE.exe
  2⤵
  PID:6276
- C:\Windows\System32\OZKYXOo.exe
  C:\Windows\System32\OZKYXOo.exe
  2⤵
  PID:6420
- C:\Windows\System32\ZzPsPTQ.exe
  C:\Windows\System32\ZzPsPTQ.exe
  2⤵
  PID:6464
- C:\Windows\System32\ZqBmFmc.exe
  C:\Windows\System32\ZqBmFmc.exe
  2⤵
  PID:6484
- C:\Windows\System32\gkdWYUt.exe
  C:\Windows\System32\gkdWYUt.exe
  2⤵
  PID:6592
- C:\Windows\System32\rVYQpZu.exe
  C:\Windows\System32\rVYQpZu.exe
  2⤵
  PID:6680
- C:\Windows\System32\zBwbvpu.exe
  C:\Windows\System32\zBwbvpu.exe
  2⤵
  PID:6728
- C:\Windows\System32\PUGDswQ.exe
  C:\Windows\System32\PUGDswQ.exe
  2⤵
  PID:6788
- C:\Windows\System32\gxAUZWf.exe
  C:\Windows\System32\gxAUZWf.exe
  2⤵
  PID:6824
- C:\Windows\System32\WBmqEvv.exe
  C:\Windows\System32\WBmqEvv.exe
  2⤵
  PID:6864
- C:\Windows\System32\IVfLccg.exe
  C:\Windows\System32\IVfLccg.exe
  2⤵
  PID:6912
- C:\Windows\System32\BeERlWj.exe
  C:\Windows\System32\BeERlWj.exe
  2⤵
  PID:6936
- C:\Windows\System32\jChhzMR.exe
  C:\Windows\System32\jChhzMR.exe
  2⤵
  PID:7000
- C:\Windows\System32\MtFvzWS.exe
  C:\Windows\System32\MtFvzWS.exe
  2⤵
  PID:7032
- C:\Windows\System32\ZGWDUDn.exe
  C:\Windows\System32\ZGWDUDn.exe
  2⤵
  PID:7044
- C:\Windows\System32\xczDBkU.exe
  C:\Windows\System32\xczDBkU.exe
  2⤵
  PID:4060
- C:\Windows\System32\UMCfoTB.exe
  C:\Windows\System32\UMCfoTB.exe
  2⤵
  PID:7120
- C:\Windows\System32\gQkwpgn.exe
  C:\Windows\System32\gQkwpgn.exe
  2⤵
  PID:4328
- C:\Windows\System32\llcAmaD.exe
  C:\Windows\System32\llcAmaD.exe
  2⤵
  PID:6168
- C:\Windows\System32\xEPsJsU.exe
  C:\Windows\System32\xEPsJsU.exe
  2⤵
  PID:6352
- C:\Windows\System32\dToBKKJ.exe
  C:\Windows\System32\dToBKKJ.exe
  2⤵
  PID:6816
- C:\Windows\System32\jhzDcrX.exe
  C:\Windows\System32\jhzDcrX.exe
  2⤵
  PID:7064
- C:\Windows\System32\WcYpayM.exe
  C:\Windows\System32\WcYpayM.exe
  2⤵
  PID:1784
- C:\Windows\System32\ksDPFRx.exe
  C:\Windows\System32\ksDPFRx.exe
  2⤵
  PID:6980
- C:\Windows\System32\WVpsEsf.exe
  C:\Windows\System32\WVpsEsf.exe
  2⤵
  PID:6976
- C:\Windows\System32\HtSAYyB.exe
  C:\Windows\System32\HtSAYyB.exe
  2⤵
  PID:6716
- C:\Windows\System32\ckBbShL.exe
  C:\Windows\System32\ckBbShL.exe
  2⤵
  PID:2776
- C:\Windows\System32\ENcJweH.exe
  C:\Windows\System32\ENcJweH.exe
  2⤵
  PID:7184
- C:\Windows\System32\dPqyvhS.exe
  C:\Windows\System32\dPqyvhS.exe
  2⤵
  PID:7200
- C:\Windows\System32\ekoMKPn.exe
  C:\Windows\System32\ekoMKPn.exe
  2⤵
  PID:7244
- C:\Windows\System32\lAbPRPU.exe
  C:\Windows\System32\lAbPRPU.exe
  2⤵
  PID:7264
- C:\Windows\System32\sRiDOPX.exe
  C:\Windows\System32\sRiDOPX.exe
  2⤵
  PID:7284
- C:\Windows\System32\gLTRYxh.exe
  C:\Windows\System32\gLTRYxh.exe
  2⤵
  PID:7312
- C:\Windows\System32\DibImtB.exe
  C:\Windows\System32\DibImtB.exe
  2⤵
  PID:7364
- C:\Windows\System32\bOJdiQB.exe
  C:\Windows\System32\bOJdiQB.exe
  2⤵
  PID:7388
- C:\Windows\System32\xCXhszG.exe
  C:\Windows\System32\xCXhszG.exe
  2⤵
  PID:7444
- C:\Windows\System32\WUdWrrd.exe
  C:\Windows\System32\WUdWrrd.exe
  2⤵
  PID:7460
- C:\Windows\System32\rlKPbGi.exe
  C:\Windows\System32\rlKPbGi.exe
  2⤵
  PID:7476
- C:\Windows\System32\bBHesjc.exe
  C:\Windows\System32\bBHesjc.exe
  2⤵
  PID:7492
- C:\Windows\System32\gbwgzdz.exe
  C:\Windows\System32\gbwgzdz.exe
  2⤵
  PID:7508
- C:\Windows\System32\hHBrSpX.exe
  C:\Windows\System32\hHBrSpX.exe
  2⤵
  PID:7524
- C:\Windows\System32\oaffAtz.exe
  C:\Windows\System32\oaffAtz.exe
  2⤵
  PID:7560
- C:\Windows\System32\zDBKZxA.exe
  C:\Windows\System32\zDBKZxA.exe
  2⤵
  PID:7584
- C:\Windows\System32\KoglbUt.exe
  C:\Windows\System32\KoglbUt.exe
  2⤵
  PID:7648
- C:\Windows\System32\TqBGMVk.exe
  C:\Windows\System32\TqBGMVk.exe
  2⤵
  PID:7680
- C:\Windows\System32\fqpBIIe.exe
  C:\Windows\System32\fqpBIIe.exe
  2⤵
  PID:7732
- C:\Windows\System32\xRjmAGf.exe
  C:\Windows\System32\xRjmAGf.exe
  2⤵
  PID:7788
- C:\Windows\System32\kzzfUeb.exe
  C:\Windows\System32\kzzfUeb.exe
  2⤵
  PID:7836
- C:\Windows\System32\QlYBIxa.exe
  C:\Windows\System32\QlYBIxa.exe
  2⤵
  PID:7852
- C:\Windows\System32\FxFZIRz.exe
  C:\Windows\System32\FxFZIRz.exe
  2⤵
  PID:7868
- C:\Windows\System32\TDGqKkU.exe
  C:\Windows\System32\TDGqKkU.exe
  2⤵
  PID:7888
- C:\Windows\System32\UCIVpEI.exe
  C:\Windows\System32\UCIVpEI.exe
  2⤵
  PID:7912
- C:\Windows\System32\PYsvRLd.exe
  C:\Windows\System32\PYsvRLd.exe
  2⤵
  PID:7948
- C:\Windows\System32\IMObAvh.exe
  C:\Windows\System32\IMObAvh.exe
  2⤵
  PID:7964
- C:\Windows\System32\QbczzsA.exe
  C:\Windows\System32\QbczzsA.exe
  2⤵
  PID:8008
- C:\Windows\System32\lqNiHHN.exe
  C:\Windows\System32\lqNiHHN.exe
  2⤵
  PID:8040
- C:\Windows\System32\WSScqOu.exe
  C:\Windows\System32\WSScqOu.exe
  2⤵
  PID:8072
- C:\Windows\System32\JzqXfDN.exe
  C:\Windows\System32\JzqXfDN.exe
  2⤵
  PID:8112
- C:\Windows\System32\BpFyOOc.exe
  C:\Windows\System32\BpFyOOc.exe
  2⤵
  PID:8136
- C:\Windows\System32\LNkYqgG.exe
  C:\Windows\System32\LNkYqgG.exe
  2⤵
  PID:8160
- C:\Windows\System32\vcOPZpS.exe
  C:\Windows\System32\vcOPZpS.exe
  2⤵
  PID:8184
- C:\Windows\System32\HznfHcf.exe
  C:\Windows\System32\HznfHcf.exe
  2⤵
  PID:6172
- C:\Windows\System32\vAJnSQW.exe
  C:\Windows\System32\vAJnSQW.exe
  2⤵
  PID:7232
- C:\Windows\System32\HbPsQtX.exe
  C:\Windows\System32\HbPsQtX.exe
  2⤵
  PID:7324
- C:\Windows\System32\qALxWFi.exe
  C:\Windows\System32\qALxWFi.exe
  2⤵
  PID:7400
- C:\Windows\System32\ZFfMYug.exe
  C:\Windows\System32\ZFfMYug.exe
  2⤵
  PID:7412
- C:\Windows\System32\AdMxsLg.exe
  C:\Windows\System32\AdMxsLg.exe
  2⤵
  PID:7484
- C:\Windows\System32\FCWtabt.exe
  C:\Windows\System32\FCWtabt.exe
  2⤵
  PID:7540
- C:\Windows\System32\QxgFXiz.exe
  C:\Windows\System32\QxgFXiz.exe
  2⤵
  PID:7420
- C:\Windows\System32\kcOfNBw.exe
  C:\Windows\System32\kcOfNBw.exe
  2⤵
  PID:7516
- C:\Windows\System32\cUYMOSZ.exe
  C:\Windows\System32\cUYMOSZ.exe
  2⤵
  PID:4800
- C:\Windows\System32\CmIOVFh.exe
  C:\Windows\System32\CmIOVFh.exe
  2⤵
  PID:7640
- C:\Windows\System32\vtUHkXI.exe
  C:\Windows\System32\vtUHkXI.exe
  2⤵
  PID:7812
- C:\Windows\System32\WxKjNsd.exe
  C:\Windows\System32\WxKjNsd.exe
  2⤵
  PID:7832
- C:\Windows\System32\OltoiPF.exe
  C:\Windows\System32\OltoiPF.exe
  2⤵
  PID:7896
- C:\Windows\System32\fUtgmuL.exe
  C:\Windows\System32\fUtgmuL.exe
  2⤵
  PID:7928
- C:\Windows\System32\fzxjpig.exe
  C:\Windows\System32\fzxjpig.exe
  2⤵
  PID:3808
- C:\Windows\System32\RtmndEU.exe
  C:\Windows\System32\RtmndEU.exe
  2⤵
  PID:8100
- C:\Windows\System32\ezmHOnP.exe
  C:\Windows\System32\ezmHOnP.exe
  2⤵
  PID:8128
- C:\Windows\System32\BMFJuQl.exe
  C:\Windows\System32\BMFJuQl.exe
  2⤵
  PID:3276
- C:\Windows\System32\UpzyiBO.exe
  C:\Windows\System32\UpzyiBO.exe
  2⤵
  PID:7224
- C:\Windows\System32\LaLPXhR.exe
  C:\Windows\System32\LaLPXhR.exe
  2⤵
  PID:7544
- C:\Windows\System32\VyfRUog.exe
  C:\Windows\System32\VyfRUog.exe
  2⤵
  PID:7632
- C:\Windows\System32\FCjSbOL.exe
  C:\Windows\System32\FCjSbOL.exe
  2⤵
  PID:7676
- C:\Windows\System32\gJMaabV.exe
  C:\Windows\System32\gJMaabV.exe
  2⤵
  PID:7844
- C:\Windows\System32\jwCBvPX.exe
  C:\Windows\System32\jwCBvPX.exe
  2⤵
  PID:8056
- C:\Windows\System32\lmfdgRM.exe
  C:\Windows\System32\lmfdgRM.exe
  2⤵
  PID:8080
- C:\Windows\System32\BqHsceN.exe
  C:\Windows\System32\BqHsceN.exe
  2⤵
  PID:8132
- C:\Windows\System32\BFzXXSe.exe
  C:\Windows\System32\BFzXXSe.exe
  2⤵
  PID:7720
- C:\Windows\System32\jOybxiJ.exe
  C:\Windows\System32\jOybxiJ.exe
  2⤵
  PID:7908
- C:\Windows\System32\bJZQpfW.exe
  C:\Windows\System32\bJZQpfW.exe
  2⤵
  PID:8152
- C:\Windows\System32\MWTDTtO.exe
  C:\Windows\System32\MWTDTtO.exe
  2⤵
  PID:8196
- C:\Windows\System32\MMNnkqJ.exe
  C:\Windows\System32\MMNnkqJ.exe
  2⤵
  PID:8212
- C:\Windows\System32\dWdSfUp.exe
  C:\Windows\System32\dWdSfUp.exe
  2⤵
  PID:8232
- C:\Windows\System32\RxzUaEF.exe
  C:\Windows\System32\RxzUaEF.exe
  2⤵
  PID:8288
- C:\Windows\System32\XXRczQc.exe
  C:\Windows\System32\XXRczQc.exe
  2⤵
  PID:8312
- C:\Windows\System32\HvwTOwT.exe
  C:\Windows\System32\HvwTOwT.exe
  2⤵
  PID:8328
- C:\Windows\System32\dEujoRP.exe
  C:\Windows\System32\dEujoRP.exe
  2⤵
  PID:8360
- C:\Windows\System32\pBvwzuT.exe
  C:\Windows\System32\pBvwzuT.exe
  2⤵
  PID:8388
- C:\Windows\System32\Bgampzy.exe
  C:\Windows\System32\Bgampzy.exe
  2⤵
  PID:8408
- C:\Windows\System32\PtgCxpg.exe
  C:\Windows\System32\PtgCxpg.exe
  2⤵
  PID:8428
- C:\Windows\System32\hjcWQBI.exe
  C:\Windows\System32\hjcWQBI.exe
  2⤵
  PID:8448
- C:\Windows\System32\qZXcKtV.exe
  C:\Windows\System32\qZXcKtV.exe
  2⤵
  PID:8480
- C:\Windows\System32\kZOpQnJ.exe
  C:\Windows\System32\kZOpQnJ.exe
  2⤵
  PID:8500
- C:\Windows\System32\uUqfwAl.exe
  C:\Windows\System32\uUqfwAl.exe
  2⤵
  PID:8524
- C:\Windows\System32\hBKlPQC.exe
  C:\Windows\System32\hBKlPQC.exe
  2⤵
  PID:8596
- C:\Windows\System32\tLqVcwg.exe
  C:\Windows\System32\tLqVcwg.exe
  2⤵
  PID:8624
- C:\Windows\System32\NCkBWxS.exe
  C:\Windows\System32\NCkBWxS.exe
  2⤵
  PID:8648
- C:\Windows\System32\qJaiynO.exe
  C:\Windows\System32\qJaiynO.exe
  2⤵
  PID:8668
- C:\Windows\System32\SnnbBEO.exe
  C:\Windows\System32\SnnbBEO.exe
  2⤵
  PID:8692
- C:\Windows\System32\lktcSpK.exe
  C:\Windows\System32\lktcSpK.exe
  2⤵
  PID:8732
- C:\Windows\System32\MqzQKWX.exe
  C:\Windows\System32\MqzQKWX.exe
  2⤵
  PID:8748
- C:\Windows\System32\cVbnoPz.exe
  C:\Windows\System32\cVbnoPz.exe
  2⤵
  PID:8772
- C:\Windows\System32\UxaOHVY.exe
  C:\Windows\System32\UxaOHVY.exe
  2⤵
  PID:8816
- C:\Windows\System32\JpeJUHI.exe
  C:\Windows\System32\JpeJUHI.exe
  2⤵
  PID:8852
- C:\Windows\System32\MOlRrRu.exe
  C:\Windows\System32\MOlRrRu.exe
  2⤵
  PID:8876
- C:\Windows\System32\ASMpLiJ.exe
  C:\Windows\System32\ASMpLiJ.exe
  2⤵
  PID:8908
- C:\Windows\System32\tpQsNMc.exe
  C:\Windows\System32\tpQsNMc.exe
  2⤵
  PID:8932
- C:\Windows\System32\RhiAEIE.exe
  C:\Windows\System32\RhiAEIE.exe
  2⤵
  PID:8952
- C:\Windows\System32\fezcaaz.exe
  C:\Windows\System32\fezcaaz.exe
  2⤵
  PID:8992
- C:\Windows\System32\LfMsMDf.exe
  C:\Windows\System32\LfMsMDf.exe
  2⤵
  PID:9016
- C:\Windows\System32\OoibCcp.exe
  C:\Windows\System32\OoibCcp.exe
  2⤵
  PID:9032
- C:\Windows\System32\nBcTPUg.exe
  C:\Windows\System32\nBcTPUg.exe
  2⤵
  PID:9052
- C:\Windows\System32\venjTbH.exe
  C:\Windows\System32\venjTbH.exe
  2⤵
  PID:9072
- C:\Windows\System32\NjnfqNw.exe
  C:\Windows\System32\NjnfqNw.exe
  2⤵
  PID:9088
- C:\Windows\System32\oJdqnEG.exe
  C:\Windows\System32\oJdqnEG.exe
  2⤵
  PID:9152
- C:\Windows\System32\GbuiDBR.exe
  C:\Windows\System32\GbuiDBR.exe
  2⤵
  PID:9168
- C:\Windows\System32\jEIbHiM.exe
  C:\Windows\System32\jEIbHiM.exe
  2⤵
  PID:9192
- C:\Windows\System32\xGbytko.exe
  C:\Windows\System32\xGbytko.exe
  2⤵
  PID:9212
- C:\Windows\System32\OhIuNZO.exe
  C:\Windows\System32\OhIuNZO.exe
  2⤵
  PID:7140
- C:\Windows\System32\BtzeRiP.exe
  C:\Windows\System32\BtzeRiP.exe
  2⤵
  PID:8248
- C:\Windows\System32\MynFTnY.exe
  C:\Windows\System32\MynFTnY.exe
  2⤵
  PID:8300
- C:\Windows\System32\OrSmExP.exe
  C:\Windows\System32\OrSmExP.exe
  2⤵
  PID:8460
- C:\Windows\System32\mGHFfgq.exe
  C:\Windows\System32\mGHFfgq.exe
  2⤵
  PID:8472
- C:\Windows\System32\AwEavxn.exe
  C:\Windows\System32\AwEavxn.exe
  2⤵
  PID:8560
- C:\Windows\System32\YdrEYJc.exe
  C:\Windows\System32\YdrEYJc.exe
  2⤵
  PID:8640
- C:\Windows\System32\qIPIdQp.exe
  C:\Windows\System32\qIPIdQp.exe
  2⤵
  PID:8688
- C:\Windows\System32\hAxiGLp.exe
  C:\Windows\System32\hAxiGLp.exe
  2⤵
  PID:8740
- C:\Windows\System32\UIAvuDx.exe
  C:\Windows\System32\UIAvuDx.exe
  2⤵
  PID:8832
- C:\Windows\System32\ISNozBg.exe
  C:\Windows\System32\ISNozBg.exe
  2⤵
  PID:8904
- C:\Windows\System32\dMkGwnN.exe
  C:\Windows\System32\dMkGwnN.exe
  2⤵
  PID:8948
- C:\Windows\System32\zrludRU.exe
  C:\Windows\System32\zrludRU.exe
  2⤵
  PID:9012
- C:\Windows\System32\qwqpMMx.exe
  C:\Windows\System32\qwqpMMx.exe
  2⤵
  PID:9148
- C:\Windows\System32\BCBJakq.exe
  C:\Windows\System32\BCBJakq.exe
  2⤵
  PID:9208
- C:\Windows\System32\wsFoDrH.exe
  C:\Windows\System32\wsFoDrH.exe
  2⤵
  PID:8296
- C:\Windows\System32\ttSOmwp.exe
  C:\Windows\System32\ttSOmwp.exe
  2⤵
  PID:8368
- C:\Windows\System32\VZTaRmu.exe
  C:\Windows\System32\VZTaRmu.exe
  2⤵
  PID:8616
- C:\Windows\System32\UESYpyM.exe
  C:\Windows\System32\UESYpyM.exe
  2⤵
  PID:8788
- C:\Windows\System32\OzHcLOu.exe
  C:\Windows\System32\OzHcLOu.exe
  2⤵
  PID:8972
- C:\Windows\System32\QciKyIi.exe
  C:\Windows\System32\QciKyIi.exe
  2⤵
  PID:9060
- C:\Windows\System32\nxOfbpp.exe
  C:\Windows\System32\nxOfbpp.exe
  2⤵
  PID:9028
- C:\Windows\System32\BziUDyB.exe
  C:\Windows\System32\BziUDyB.exe
  2⤵
  PID:9160
- C:\Windows\System32\RrygBFp.exe
  C:\Windows\System32\RrygBFp.exe
  2⤵
  PID:8572
- C:\Windows\System32\tuGzWdm.exe
  C:\Windows\System32\tuGzWdm.exe
  2⤵
  PID:8928
- C:\Windows\System32\Soeojih.exe
  C:\Windows\System32\Soeojih.exe
  2⤵
  PID:8664
- C:\Windows\System32\ibCbrJb.exe
  C:\Windows\System32\ibCbrJb.exe
  2⤵
  PID:9232
- C:\Windows\System32\RJcmmJS.exe
  C:\Windows\System32\RJcmmJS.exe
  2⤵
  PID:9284
- C:\Windows\System32\piLHKOy.exe
  C:\Windows\System32\piLHKOy.exe
  2⤵
  PID:9308
- C:\Windows\System32\zSHJUUP.exe
  C:\Windows\System32\zSHJUUP.exe
  2⤵
  PID:9348
- C:\Windows\System32\nwFTjSe.exe
  C:\Windows\System32\nwFTjSe.exe
  2⤵
  PID:9380
- C:\Windows\System32\mUaMffN.exe
  C:\Windows\System32\mUaMffN.exe
  2⤵
  PID:9412
- C:\Windows\System32\JWdjSiD.exe
  C:\Windows\System32\JWdjSiD.exe
  2⤵
  PID:9464
- C:\Windows\System32\beOyKYM.exe
  C:\Windows\System32\beOyKYM.exe
  2⤵
  PID:9484
- C:\Windows\System32\GShVmur.exe
  C:\Windows\System32\GShVmur.exe
  2⤵
  PID:9524
- C:\Windows\System32\XeWYbKx.exe
  C:\Windows\System32\XeWYbKx.exe
  2⤵
  PID:9552
- C:\Windows\System32\LcPEIZW.exe
  C:\Windows\System32\LcPEIZW.exe
  2⤵
  PID:9576
- C:\Windows\System32\otueZRL.exe
  C:\Windows\System32\otueZRL.exe
  2⤵
  PID:9608
- C:\Windows\System32\JGaEPyr.exe
  C:\Windows\System32\JGaEPyr.exe
  2⤵
  PID:9632
- C:\Windows\System32\cwtGtiQ.exe
  C:\Windows\System32\cwtGtiQ.exe
  2⤵
  PID:9652
- C:\Windows\System32\hBFVDYL.exe
  C:\Windows\System32\hBFVDYL.exe
  2⤵
  PID:9692
- C:\Windows\System32\DQcguAM.exe
  C:\Windows\System32\DQcguAM.exe
  2⤵
  PID:9716
- C:\Windows\System32\DwfFmxJ.exe
  C:\Windows\System32\DwfFmxJ.exe
  2⤵
  PID:9740
- C:\Windows\System32\gkjjlCl.exe
  C:\Windows\System32\gkjjlCl.exe
  2⤵
  PID:9756
- C:\Windows\System32\GyTnlkc.exe
  C:\Windows\System32\GyTnlkc.exe
  2⤵
  PID:9780
- C:\Windows\System32\tjiUsNX.exe
  C:\Windows\System32\tjiUsNX.exe
  2⤵
  PID:9824
- C:\Windows\System32\NLSkork.exe
  C:\Windows\System32\NLSkork.exe
  2⤵
  PID:9860
- C:\Windows\System32\tSkFCJk.exe
  C:\Windows\System32\tSkFCJk.exe
  2⤵
  PID:9884
- C:\Windows\System32\FBrAubb.exe
  C:\Windows\System32\FBrAubb.exe
  2⤵
  PID:9912
- C:\Windows\System32\zyanMTr.exe
  C:\Windows\System32\zyanMTr.exe
  2⤵
  PID:9932
- C:\Windows\System32\aCyKehC.exe
  C:\Windows\System32\aCyKehC.exe
  2⤵
  PID:9972
- C:\Windows\System32\vpTTmSz.exe
  C:\Windows\System32\vpTTmSz.exe
  2⤵
  PID:9996
- C:\Windows\System32\qYkdBZj.exe
  C:\Windows\System32\qYkdBZj.exe
  2⤵
  PID:10016
- C:\Windows\System32\UoNetxu.exe
  C:\Windows\System32\UoNetxu.exe
  2⤵
  PID:10044
- C:\Windows\System32\PgmSbsQ.exe
  C:\Windows\System32\PgmSbsQ.exe
  2⤵
  PID:10064
- C:\Windows\System32\dihzdkX.exe
  C:\Windows\System32\dihzdkX.exe
  2⤵
  PID:10108
- C:\Windows\System32\OwqDOQg.exe
  C:\Windows\System32\OwqDOQg.exe
  2⤵
  PID:10136
- C:\Windows\System32\vMgbGrn.exe
  C:\Windows\System32\vMgbGrn.exe
  2⤵
  PID:10152
- C:\Windows\System32\XjdHZhQ.exe
  C:\Windows\System32\XjdHZhQ.exe
  2⤵
  PID:10192
- C:\Windows\System32\aSUxAfw.exe
  C:\Windows\System32\aSUxAfw.exe
  2⤵
  PID:10236
- C:\Windows\System32\ymEcGfY.exe
  C:\Windows\System32\ymEcGfY.exe
  2⤵
  PID:8436
- C:\Windows\System32\kKIyZAr.exe
  C:\Windows\System32\kKIyZAr.exe
  2⤵
  PID:9272
- C:\Windows\System32\fPbOjfy.exe
  C:\Windows\System32\fPbOjfy.exe
  2⤵
  PID:9336
- C:\Windows\System32\indTzXC.exe
  C:\Windows\System32\indTzXC.exe
  2⤵
  PID:9476
- C:\Windows\System32\COoQgWd.exe
  C:\Windows\System32\COoQgWd.exe
  2⤵
  PID:9516
- C:\Windows\System32\FffWcmC.exe
  C:\Windows\System32\FffWcmC.exe
  2⤵
  PID:9568
- C:\Windows\System32\hzkCtpE.exe
  C:\Windows\System32\hzkCtpE.exe
  2⤵
  PID:9644
- C:\Windows\System32\jENAUrZ.exe
  C:\Windows\System32\jENAUrZ.exe
  2⤵
  PID:9688
- C:\Windows\System32\wyJLBAQ.exe
  C:\Windows\System32\wyJLBAQ.exe
  2⤵
  PID:9736
- C:\Windows\System32\bQHdQSa.exe
  C:\Windows\System32\bQHdQSa.exe
  2⤵
  PID:9796
- C:\Windows\System32\sLQhfCA.exe
  C:\Windows\System32\sLQhfCA.exe
  2⤵
  PID:9852
- C:\Windows\System32\uRLRVwB.exe
  C:\Windows\System32\uRLRVwB.exe
  2⤵
  PID:7164
- C:\Windows\System32\aALqchn.exe
  C:\Windows\System32\aALqchn.exe
  2⤵
  PID:10012
- C:\Windows\System32\OQNZdGt.exe
  C:\Windows\System32\OQNZdGt.exe
  2⤵
  PID:10056
- C:\Windows\System32\bokhSGL.exe
  C:\Windows\System32\bokhSGL.exe
  2⤵
  PID:10116
- C:\Windows\System32\CVnxbeT.exe
  C:\Windows\System32\CVnxbeT.exe
  2⤵
  PID:10168
- C:\Windows\System32\lntoNzl.exe
  C:\Windows\System32\lntoNzl.exe
  2⤵
  PID:9248
- C:\Windows\System32\pldfrwF.exe
  C:\Windows\System32\pldfrwF.exe
  2⤵
  PID:9400
- C:\Windows\System32\aqqJAxW.exe
  C:\Windows\System32\aqqJAxW.exe
  2⤵
  PID:9660
- C:\Windows\System32\aZhpihn.exe
  C:\Windows\System32\aZhpihn.exe
  2⤵
  PID:9792
- C:\Windows\System32\Vrczlle.exe
  C:\Windows\System32\Vrczlle.exe
  2⤵
  PID:10008
- C:\Windows\System32\yDAdVsP.exe
  C:\Windows\System32\yDAdVsP.exe
  2⤵
  PID:10128
- C:\Windows\System32\CztPllv.exe
  C:\Windows\System32\CztPllv.exe
  2⤵
  PID:10228
- C:\Windows\System32\jKLDMQF.exe
  C:\Windows\System32\jKLDMQF.exe
  2⤵
  PID:9268
- C:\Windows\System32\SuduPJh.exe
  C:\Windows\System32\SuduPJh.exe
  2⤵
  PID:9600
- C:\Windows\System32\IMwFWEv.exe
  C:\Windows\System32\IMwFWEv.exe
  2⤵
  PID:9952
- C:\Windows\System32\PzuXsbA.exe
  C:\Windows\System32\PzuXsbA.exe
  2⤵
  PID:9332
- C:\Windows\System32\VUEVSML.exe
  C:\Windows\System32\VUEVSML.exe
  2⤵
  PID:10244
- C:\Windows\System32\WPSMkWV.exe
  C:\Windows\System32\WPSMkWV.exe
  2⤵
  PID:10300
- C:\Windows\System32\aBRvcws.exe
  C:\Windows\System32\aBRvcws.exe
  2⤵
  PID:10360
- C:\Windows\System32\rkgrPbC.exe
  C:\Windows\System32\rkgrPbC.exe
  2⤵
  PID:10396
- C:\Windows\System32\kCfaFjB.exe
  C:\Windows\System32\kCfaFjB.exe
  2⤵
  PID:10428
- C:\Windows\System32\BbDnAEi.exe
  C:\Windows\System32\BbDnAEi.exe
  2⤵
  PID:10456
- C:\Windows\System32\VbSUmvD.exe
  C:\Windows\System32\VbSUmvD.exe
  2⤵
  PID:10472
- C:\Windows\System32\LTixNDX.exe
  C:\Windows\System32\LTixNDX.exe
  2⤵
  PID:10540
- C:\Windows\System32\rjyTCmO.exe
  C:\Windows\System32\rjyTCmO.exe
  2⤵
  PID:10560
- C:\Windows\System32\gtHYImx.exe
  C:\Windows\System32\gtHYImx.exe
  2⤵
  PID:10588
- C:\Windows\System32\umAIoSZ.exe
  C:\Windows\System32\umAIoSZ.exe
  2⤵
  PID:10612
- C:\Windows\System32\nIghIHi.exe
  C:\Windows\System32\nIghIHi.exe
  2⤵
  PID:10648
- C:\Windows\System32\pwYKLFz.exe
  C:\Windows\System32\pwYKLFz.exe
  2⤵
  PID:10688
- C:\Windows\System32\azEtmVY.exe
  C:\Windows\System32\azEtmVY.exe
  2⤵
  PID:10708
- C:\Windows\System32\oBhOsjz.exe
  C:\Windows\System32\oBhOsjz.exe
  2⤵
  PID:10744
- C:\Windows\System32\zcIbMNI.exe
  C:\Windows\System32\zcIbMNI.exe
  2⤵
  PID:10776
- C:\Windows\System32\GGOxEhC.exe
  C:\Windows\System32\GGOxEhC.exe
  2⤵
  PID:10800
- C:\Windows\System32\QtXJPip.exe
  C:\Windows\System32\QtXJPip.exe
  2⤵
  PID:10840
- C:\Windows\System32\GInaSvE.exe
  C:\Windows\System32\GInaSvE.exe
  2⤵
  PID:10860
- C:\Windows\System32\viHHabd.exe
  C:\Windows\System32\viHHabd.exe
  2⤵
  PID:10896
- C:\Windows\System32\ojYdxQK.exe
  C:\Windows\System32\ojYdxQK.exe
  2⤵
  PID:10968
- C:\Windows\System32\jTUrMHf.exe
  C:\Windows\System32\jTUrMHf.exe
  2⤵
  PID:10996
- C:\Windows\System32\yeHxYMS.exe
  C:\Windows\System32\yeHxYMS.exe
  2⤵
  PID:11028
- C:\Windows\System32\KWWoTrE.exe
  C:\Windows\System32\KWWoTrE.exe
  2⤵
  PID:11052
- C:\Windows\System32\amjVPnI.exe
  C:\Windows\System32\amjVPnI.exe
  2⤵
  PID:11084
- C:\Windows\System32\NKDjtvT.exe
  C:\Windows\System32\NKDjtvT.exe
  2⤵
  PID:11144
- C:\Windows\System32\eNBwLHm.exe
  C:\Windows\System32\eNBwLHm.exe
  2⤵
  PID:11176
- C:\Windows\System32\rqqsJKn.exe
  C:\Windows\System32\rqqsJKn.exe
  2⤵
  PID:11208
- C:\Windows\System32\JnGftAT.exe
  C:\Windows\System32\JnGftAT.exe
  2⤵
  PID:11236
- C:\Windows\System32\saVxXiq.exe
  C:\Windows\System32\saVxXiq.exe
  2⤵
  PID:11252
- C:\Windows\System32\KfaRuhx.exe
  C:\Windows\System32\KfaRuhx.exe
  2⤵
  PID:10284
- C:\Windows\System32\uMLGUrR.exe
  C:\Windows\System32\uMLGUrR.exe
  2⤵
  PID:10324
- C:\Windows\System32\bwjhxVD.exe
  C:\Windows\System32\bwjhxVD.exe
  2⤵
  PID:10392
- C:\Windows\System32\YZFpuiD.exe
  C:\Windows\System32\YZFpuiD.exe
  2⤵
  PID:10464
- C:\Windows\System32\HoSFkaR.exe
  C:\Windows\System32\HoSFkaR.exe
  2⤵
  PID:10596
- C:\Windows\System32\tgbXkIo.exe
  C:\Windows\System32\tgbXkIo.exe
  2⤵
  PID:10660
- C:\Windows\System32\BJtvPsq.exe
  C:\Windows\System32\BJtvPsq.exe
  2⤵
  PID:10696
- C:\Windows\System32\RddOjzb.exe
  C:\Windows\System32\RddOjzb.exe
  2⤵
  PID:10816
- C:\Windows\System32\xltQnNW.exe
  C:\Windows\System32\xltQnNW.exe
  2⤵
  PID:10888
- C:\Windows\System32\zZTYDtu.exe
  C:\Windows\System32\zZTYDtu.exe
  2⤵
  PID:11036
- C:\Windows\System32\KFgabqP.exe
  C:\Windows\System32\KFgabqP.exe
  2⤵
  PID:11096
- C:\Windows\System32\ISwXDkl.exe
  C:\Windows\System32\ISwXDkl.exe
  2⤵
  PID:11140
- C:\Windows\System32\ffldBet.exe
  C:\Windows\System32\ffldBet.exe
  2⤵
  PID:11204
- C:\Windows\System32\QrxooBa.exe
  C:\Windows\System32\QrxooBa.exe
  2⤵
  PID:10312
- C:\Windows\System32\DeGnKTg.exe
  C:\Windows\System32\DeGnKTg.exe
  2⤵
  PID:10444
- C:\Windows\System32\coIDAsC.exe
  C:\Windows\System32\coIDAsC.exe
  2⤵
  PID:8352
- C:\Windows\System32\lkmpqxH.exe
  C:\Windows\System32\lkmpqxH.exe
  2⤵
  PID:10756
- C:\Windows\System32\TqKZAjb.exe
  C:\Windows\System32\TqKZAjb.exe
  2⤵
  PID:10940
- C:\Windows\System32\TcQtcNJ.exe
  C:\Windows\System32\TcQtcNJ.exe
  2⤵
  PID:11200
- C:\Windows\System32\qoNjbQO.exe
  C:\Windows\System32\qoNjbQO.exe
  2⤵
  PID:10380
- C:\Windows\System32\ePfXvSg.exe
  C:\Windows\System32\ePfXvSg.exe
  2⤵
  PID:10700
- C:\Windows\System32\ZaHjcZY.exe
  C:\Windows\System32\ZaHjcZY.exe
  2⤵
  PID:9548
- C:\Windows\System32\WaOazCr.exe
  C:\Windows\System32\WaOazCr.exe
  2⤵
  PID:11060
- C:\Windows\System32\AichCZR.exe
  C:\Windows\System32\AichCZR.exe
  2⤵
  PID:11284
- C:\Windows\System32\GSYLLSK.exe
  C:\Windows\System32\GSYLLSK.exe
  2⤵
  PID:11312
- C:\Windows\System32\kUREVti.exe
  C:\Windows\System32\kUREVti.exe
  2⤵
  PID:11332
- C:\Windows\System32\TEWtYvv.exe
  C:\Windows\System32\TEWtYvv.exe
  2⤵
  PID:11368
- C:\Windows\System32\sGaRxBt.exe
  C:\Windows\System32\sGaRxBt.exe
  2⤵
  PID:11388
- C:\Windows\System32\UPUwzeH.exe
  C:\Windows\System32\UPUwzeH.exe
  2⤵
  PID:11416
- C:\Windows\System32\utvgIZD.exe
  C:\Windows\System32\utvgIZD.exe
  2⤵
  PID:11452
- C:\Windows\System32\mlxfxjJ.exe
  C:\Windows\System32\mlxfxjJ.exe
  2⤵
  PID:11480
- C:\Windows\System32\EDtpOyb.exe
  C:\Windows\System32\EDtpOyb.exe
  2⤵
  PID:11504
- C:\Windows\System32\LnFcCxP.exe
  C:\Windows\System32\LnFcCxP.exe
  2⤵
  PID:11524
- C:\Windows\System32\hAgoXMP.exe
  C:\Windows\System32\hAgoXMP.exe
  2⤵
  PID:11560
- C:\Windows\System32\tezgZnF.exe
  C:\Windows\System32\tezgZnF.exe
  2⤵
  PID:11584
- C:\Windows\System32\BwdyTNy.exe
  C:\Windows\System32\BwdyTNy.exe
  2⤵
  PID:11604
- C:\Windows\System32\eICyjzi.exe
  C:\Windows\System32\eICyjzi.exe
  2⤵
  PID:11620
- C:\Windows\System32\OhSMczO.exe
  C:\Windows\System32\OhSMczO.exe
  2⤵
  PID:11644
- C:\Windows\System32\HPSngKy.exe
  C:\Windows\System32\HPSngKy.exe
  2⤵
  PID:11696
- C:\Windows\System32\GnVqcxC.exe
  C:\Windows\System32\GnVqcxC.exe
  2⤵
  PID:11716
- C:\Windows\System32\AUdcpvt.exe
  C:\Windows\System32\AUdcpvt.exe
  2⤵
  PID:11732
- C:\Windows\System32\QzifJZc.exe
  C:\Windows\System32\QzifJZc.exe
  2⤵
  PID:11792
- C:\Windows\System32\YVgqwFj.exe
  C:\Windows\System32\YVgqwFj.exe
  2⤵
  PID:11816
- C:\Windows\System32\WrZmHYp.exe
  C:\Windows\System32\WrZmHYp.exe
  2⤵
  PID:11836
- C:\Windows\System32\uDSAdUe.exe
  C:\Windows\System32\uDSAdUe.exe
  2⤵
  PID:11856
- C:\Windows\System32\qbuWXmv.exe
  C:\Windows\System32\qbuWXmv.exe
  2⤵
  PID:11896
- C:\Windows\System32\ChWezWv.exe
  C:\Windows\System32\ChWezWv.exe
  2⤵
  PID:11916
- C:\Windows\System32\ZsahXVF.exe
  C:\Windows\System32\ZsahXVF.exe
  2⤵
  PID:11936
- C:\Windows\System32\btUjQcR.exe
  C:\Windows\System32\btUjQcR.exe
  2⤵
  PID:11976
- C:\Windows\System32\ZVDYRkR.exe
  C:\Windows\System32\ZVDYRkR.exe
  2⤵
  PID:12004
- C:\Windows\System32\lOcyycj.exe
  C:\Windows\System32\lOcyycj.exe
  2⤵
  PID:12036
- C:\Windows\System32\pdxHYTl.exe
  C:\Windows\System32\pdxHYTl.exe
  2⤵
  PID:12060
- C:\Windows\System32\NiQMBXj.exe
  C:\Windows\System32\NiQMBXj.exe
  2⤵
  PID:12088
- C:\Windows\System32\CcmmMbu.exe
  C:\Windows\System32\CcmmMbu.exe
  2⤵
  PID:12124
- C:\Windows\System32\DqwlREV.exe
  C:\Windows\System32\DqwlREV.exe
  2⤵
  PID:12144
- C:\Windows\System32\gvbOhTt.exe
  C:\Windows\System32\gvbOhTt.exe
  2⤵
  PID:12164
- C:\Windows\System32\zqIwEly.exe
  C:\Windows\System32\zqIwEly.exe
  2⤵
  PID:12184
- C:\Windows\System32\MbMCBQb.exe
  C:\Windows\System32\MbMCBQb.exe
  2⤵
  PID:12232
- C:\Windows\System32\tAnZChk.exe
  C:\Windows\System32\tAnZChk.exe
  2⤵
  PID:12252
- C:\Windows\System32\HKeAWCx.exe
  C:\Windows\System32\HKeAWCx.exe
  2⤵
  PID:12272
- C:\Windows\System32\GKJVJng.exe
  C:\Windows\System32\GKJVJng.exe
  2⤵
  PID:11300
- C:\Windows\System32\PXmfBhC.exe
  C:\Windows\System32\PXmfBhC.exe
  2⤵
  PID:11360
- C:\Windows\System32\qycIlcU.exe
  C:\Windows\System32\qycIlcU.exe
  2⤵
  PID:11464
- C:\Windows\System32\fFogoHI.exe
  C:\Windows\System32\fFogoHI.exe
  2⤵
  PID:11516
- C:\Windows\System32\fWoBQby.exe
  C:\Windows\System32\fWoBQby.exe
  2⤵
  PID:11612
- C:\Windows\System32\jyCaKGu.exe
  C:\Windows\System32\jyCaKGu.exe
  2⤵
  PID:11680
- C:\Windows\System32\uLHLcmH.exe
  C:\Windows\System32\uLHLcmH.exe
  2⤵
  PID:11740
- C:\Windows\System32\NCMUzih.exe
  C:\Windows\System32\NCMUzih.exe
  2⤵
  PID:11756
- C:\Windows\System32\EeSnZQL.exe
  C:\Windows\System32\EeSnZQL.exe
  2⤵
  PID:11812
- C:\Windows\System32\KeVCXRd.exe
  C:\Windows\System32\KeVCXRd.exe
  2⤵
  PID:11912
- C:\Windows\System32\jRJjyCt.exe
  C:\Windows\System32\jRJjyCt.exe
  2⤵
  PID:11952
- C:\Windows\System32\dWbafbE.exe
  C:\Windows\System32\dWbafbE.exe
  2⤵
  PID:12048
- C:\Windows\System32\AkhGKsK.exe
  C:\Windows\System32\AkhGKsK.exe
  2⤵
  PID:12136
- C:\Windows\System32\Upaicfz.exe
  C:\Windows\System32\Upaicfz.exe
  2⤵
  PID:12152
- C:\Windows\System32\XCwsaRI.exe
  C:\Windows\System32\XCwsaRI.exe
  2⤵
  PID:12248
- C:\Windows\System32\pnQUqmc.exe
  C:\Windows\System32\pnQUqmc.exe
  2⤵
  PID:10704
- C:\Windows\System32\lNIjVCD.exe
  C:\Windows\System32\lNIjVCD.exe
  2⤵
  PID:11432
- C:\Windows\System32\fsJcDnC.exe
  C:\Windows\System32\fsJcDnC.exe
  2⤵
  PID:11628
- C:\Windows\System32\ljszUlE.exe
  C:\Windows\System32\ljszUlE.exe
  2⤵
  PID:11752
- C:\Windows\System32\fUmfTsb.exe
  C:\Windows\System32\fUmfTsb.exe
  2⤵
  PID:11876
- C:\Windows\System32\ZYAPkTx.exe
  C:\Windows\System32\ZYAPkTx.exe
  2⤵
  PID:12080
- C:\Windows\System32\AQSlvkm.exe
  C:\Windows\System32\AQSlvkm.exe
  2⤵
  PID:12176
- C:\Windows\System32\ohbUNGp.exe
  C:\Windows\System32\ohbUNGp.exe
  2⤵
  PID:11352
- C:\Windows\System32\owLRquy.exe
  C:\Windows\System32\owLRquy.exe
  2⤵
  PID:11832
- C:\Windows\System32\xcvYbGs.exe
  C:\Windows\System32\xcvYbGs.exe
  2⤵
  PID:11996
- C:\Windows\System32\doeyACT.exe
  C:\Windows\System32\doeyACT.exe
  2⤵
  PID:12300
- C:\Windows\System32\kowUHBR.exe
  C:\Windows\System32\kowUHBR.exe
  2⤵
  PID:12324
- C:\Windows\System32\ITPZrPJ.exe
  C:\Windows\System32\ITPZrPJ.exe
  2⤵
  PID:12344
- C:\Windows\System32\mgLMrWN.exe
  C:\Windows\System32\mgLMrWN.exe
  2⤵
  PID:12360
- C:\Windows\System32\rcCetKF.exe
  C:\Windows\System32\rcCetKF.exe
  2⤵
  PID:12400
- C:\Windows\System32\eJVcRNX.exe
  C:\Windows\System32\eJVcRNX.exe
  2⤵
  PID:12436
- C:\Windows\System32\GkHwqfS.exe
  C:\Windows\System32\GkHwqfS.exe
  2⤵
  PID:12456
- C:\Windows\System32\iZECUUc.exe
  C:\Windows\System32\iZECUUc.exe
  2⤵
  PID:12476
- C:\Windows\System32\tQtGdcl.exe
  C:\Windows\System32\tQtGdcl.exe
  2⤵
  PID:12516
- C:\Windows\System32\gboIIAP.exe
  C:\Windows\System32\gboIIAP.exe
  2⤵
  PID:12532
- C:\Windows\System32\TdTwYPh.exe
  C:\Windows\System32\TdTwYPh.exe
  2⤵
  PID:12556
- C:\Windows\System32\BWCtaMl.exe
  C:\Windows\System32\BWCtaMl.exe
  2⤵
  PID:12628
- C:\Windows\System32\YzAuxlK.exe
  C:\Windows\System32\YzAuxlK.exe
  2⤵
  PID:12652
- C:\Windows\System32\bHrDree.exe
  C:\Windows\System32\bHrDree.exe
  2⤵
  PID:12688
- C:\Windows\System32\AtYtbKs.exe
  C:\Windows\System32\AtYtbKs.exe
  2⤵
  PID:12716
- C:\Windows\System32\zOQnlqA.exe
  C:\Windows\System32\zOQnlqA.exe
  2⤵
  PID:12744
- C:\Windows\System32\QWsHeKM.exe
  C:\Windows\System32\QWsHeKM.exe
  2⤵
  PID:12764
- C:\Windows\System32\cZUKDPA.exe
  C:\Windows\System32\cZUKDPA.exe
  2⤵
  PID:12792
- C:\Windows\System32\oJsYQnO.exe
  C:\Windows\System32\oJsYQnO.exe
  2⤵
  PID:12812
- C:\Windows\System32\fpnRwFU.exe
  C:\Windows\System32\fpnRwFU.exe
  2⤵
  PID:12860
- C:\Windows\System32\taXIwTY.exe
  C:\Windows\System32\taXIwTY.exe
  2⤵
  PID:12884
- C:\Windows\System32\lJggUNY.exe
  C:\Windows\System32\lJggUNY.exe
  2⤵
  PID:12904
- C:\Windows\System32\mmWBfEG.exe
  C:\Windows\System32\mmWBfEG.exe
  2⤵
  PID:12920
- C:\Windows\System32\fKyUNOq.exe
  C:\Windows\System32\fKyUNOq.exe
  2⤵
  PID:12940
- C:\Windows\System32\fVEcnXC.exe
  C:\Windows\System32\fVEcnXC.exe
  2⤵
  PID:12964
- C:\Windows\System32\xfHmfBs.exe
  C:\Windows\System32\xfHmfBs.exe
  2⤵
  PID:13004
- C:\Windows\System32\uryknxq.exe
  C:\Windows\System32\uryknxq.exe
  2⤵
  PID:13024
- C:\Windows\System32\QxutpCc.exe
  C:\Windows\System32\QxutpCc.exe
  2⤵
  PID:13056
- C:\Windows\System32\ogoNjHN.exe
  C:\Windows\System32\ogoNjHN.exe
  2⤵
  PID:13108
- C:\Windows\System32\sAIjeHN.exe
  C:\Windows\System32\sAIjeHN.exe
  2⤵
  PID:13128
- C:\Windows\System32\NRTZSle.exe
  C:\Windows\System32\NRTZSle.exe
  2⤵
  PID:13168
- C:\Windows\System32\yGjsCLC.exe
  C:\Windows\System32\yGjsCLC.exe
  2⤵
  PID:13196
- C:\Windows\System32\gecyZlG.exe
  C:\Windows\System32\gecyZlG.exe
  2⤵
  PID:13220
- C:\Windows\System32\tSUpKyC.exe
  C:\Windows\System32\tSUpKyC.exe
  2⤵
  PID:13248
- C:\Windows\System32\iRYcVjG.exe
  C:\Windows\System32\iRYcVjG.exe
  2⤵
  PID:13264
- C:\Windows\System32\yhVjkoD.exe
  C:\Windows\System32\yhVjkoD.exe
  2⤵
  PID:13288
- C:\Windows\System32\TDzAeNn.exe
  C:\Windows\System32\TDzAeNn.exe
  2⤵
  PID:12316
- C:\Windows\System32\rNRIAfk.exe
  C:\Windows\System32\rNRIAfk.exe
  2⤵
  PID:12340
- C:\Windows\System32\cvSpXPN.exe
  C:\Windows\System32\cvSpXPN.exe
  2⤵
  PID:12408
- C:\Windows\System32\HIzMRbe.exe
  C:\Windows\System32\HIzMRbe.exe
  2⤵
  PID:12428
- C:\Windows\System32\ZHCwqHv.exe
  C:\Windows\System32\ZHCwqHv.exe
  2⤵
  PID:12548
- C:\Windows\System32\pJLSOHX.exe
  C:\Windows\System32\pJLSOHX.exe
  2⤵
  PID:12616
- C:\Windows\System32\iTtODYO.exe
  C:\Windows\System32\iTtODYO.exe
  2⤵
  PID:12676
- C:\Windows\System32\ehtOPbV.exe
  C:\Windows\System32\ehtOPbV.exe
  2⤵
  PID:12776
- C:\Windows\System32\ILWYINX.exe
  C:\Windows\System32\ILWYINX.exe
  2⤵
  PID:12832
- C:\Windows\System32\OVsXZbq.exe
  C:\Windows\System32\OVsXZbq.exe
  2⤵
  PID:12880
- C:\Windows\System32\tnrMpQY.exe
  C:\Windows\System32\tnrMpQY.exe
  2⤵
  PID:12912
- C:\Windows\System32\ZvTtIfV.exe
  C:\Windows\System32\ZvTtIfV.exe
  2⤵
  PID:12952
- C:\Windows\System32\BbHVjZw.exe
  C:\Windows\System32\BbHVjZw.exe
  2⤵
  PID:12984
- C:\Windows\System32\TQtYGzW.exe
  C:\Windows\System32\TQtYGzW.exe
  2⤵
  PID:13048
- C:\Windows\System32\dxzOyni.exe
  C:\Windows\System32\dxzOyni.exe
  2⤵
  PID:13116
- C:\Windows\System32\xLaueaY.exe
  C:\Windows\System32\xLaueaY.exe
  2⤵
  PID:13240
- C:\Windows\System32\eHBGZcT.exe
  C:\Windows\System32\eHBGZcT.exe
  2⤵
  PID:12312
- C:\Windows\System32\lVLOMMs.exe
  C:\Windows\System32\lVLOMMs.exe
  2⤵
  PID:12336
- C:\Windows\System32\NkHWKZs.exe
  C:\Windows\System32\NkHWKZs.exe
  2⤵
  PID:12448
- C:\Windows\System32\TGRcsiN.exe
  C:\Windows\System32\TGRcsiN.exe
  2⤵
  PID:12608
- C:\Windows\System32\QcgQbzH.exe
  C:\Windows\System32\QcgQbzH.exe
  2⤵
  PID:12960
- C:\Windows\System32\WJVgXVz.exe
  C:\Windows\System32\WJVgXVz.exe
  2⤵
  PID:13080
- C:\Windows\System32\IKdyMNA.exe
  C:\Windows\System32\IKdyMNA.exe
  2⤵
  PID:13232
- C:\Windows\System32\EoiNLyN.exe
  C:\Windows\System32\EoiNLyN.exe
  2⤵
  PID:12352
- C:\Windows\System32\pwMfVtA.exe
  C:\Windows\System32\pwMfVtA.exe
  2⤵
  PID:12752
- C:\Windows\System32\CkIvVTk.exe
  C:\Windows\System32\CkIvVTk.exe
  2⤵
  PID:12872
- C:\Windows\System32\pshkKWZ.exe
  C:\Windows\System32\pshkKWZ.exe
  2⤵
  PID:12504
- C:\Windows\System32\ijgAuWm.exe
  C:\Windows\System32\ijgAuWm.exe
  2⤵
  PID:13280
- C:\Windows\System32\ULYPQlv.exe
  C:\Windows\System32\ULYPQlv.exe
  2⤵
  PID:13356
- C:\Windows\System32\xNOjpCs.exe
  C:\Windows\System32\xNOjpCs.exe
  2⤵
  PID:13372
- C:\Windows\System32\cNNNqlA.exe
  C:\Windows\System32\cNNNqlA.exe
  2⤵
  PID:13392
- C:\Windows\System32\QBJyYUZ.exe
  C:\Windows\System32\QBJyYUZ.exe
  2⤵
  PID:13448
- C:\Windows\System32\qnoDTLc.exe
  C:\Windows\System32\qnoDTLc.exe
  2⤵
  PID:13468
- C:\Windows\System32\NwOXovG.exe
  C:\Windows\System32\NwOXovG.exe
  2⤵
  PID:13496
- C:\Windows\System32\qrNUfOg.exe
  C:\Windows\System32\qrNUfOg.exe
  2⤵
  PID:13520
- C:\Windows\System32\tNLXnOs.exe
  C:\Windows\System32\tNLXnOs.exe
  2⤵
  PID:13540
- C:\Windows\System32\jKWZSgt.exe
  C:\Windows\System32\jKWZSgt.exe
  2⤵
  PID:13588
- C:\Windows\System32\xSunvYf.exe
  C:\Windows\System32\xSunvYf.exe
  2⤵
  PID:13608
- C:\Windows\System32\rCyhJRX.exe
  C:\Windows\System32\rCyhJRX.exe
  2⤵
  PID:13636
- C:\Windows\System32\FNTTXVx.exe
  C:\Windows\System32\FNTTXVx.exe
  2⤵
  PID:13660
- C:\Windows\System32\XFpOGuE.exe
  C:\Windows\System32\XFpOGuE.exe
  2⤵
  PID:13684
- C:\Windows\System32\xStBzhP.exe
  C:\Windows\System32\xStBzhP.exe
  2⤵
  PID:13704
- C:\Windows\System32\weCajFY.exe
  C:\Windows\System32\weCajFY.exe
  2⤵
  PID:13732
- C:\Windows\System32\pNMMlpy.exe
  C:\Windows\System32\pNMMlpy.exe
  2⤵
  PID:13776
- C:\Windows\System32\JUBLAXw.exe
  C:\Windows\System32\JUBLAXw.exe
  2⤵
  PID:13796
- C:\Windows\System32\jyRpkTn.exe
  C:\Windows\System32\jyRpkTn.exe
  2⤵
  PID:13828
- C:\Windows\System32\fSYtVJx.exe
  C:\Windows\System32\fSYtVJx.exe
  2⤵
  PID:13852
- C:\Windows\System32\LXBsGYY.exe
  C:\Windows\System32\LXBsGYY.exe
  2⤵
  PID:13904
- C:\Windows\System32\kSxlfcc.exe
  C:\Windows\System32\kSxlfcc.exe
  2⤵
  PID:13936

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13460

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AyWLBdI.exe

Filesize
1.2MB

MD5
bba693139fa677d0f1c3b52b0f655f31

SHA1
e36eae6c93292fff70d3b05a60e72f64e7c4d57a

SHA256
361dae44fb9b189d3ae27c2e463aa06f4cfdebe8c28a1afab3b54c3d4e57910e

SHA512
8c80cc9d06cdf3435dfe5769b704654face9930cf183b48120de0db2dc2bd2a97970b79d360fcbe047cc6a0ef796b3728bbfa4fbe68f27daf7a206ed1cf0db19

Download Submit
C:\Windows\System32\CbpVBHI.exe

Filesize
1.2MB

MD5
c8f9021795bb0763e566bd6574f33820

SHA1
7958aa648c37a14f53a91b47f2ab4c42eda1270b

SHA256
e48185350f497b16c4a00736d2d34ac8d0d63a9853599e4f9a13f5cc819a0e19

SHA512
2d2b9037ecf6c4bee0f315cbcb4035eb0e8439785448023e8bba9bc3628a0a65ab1df86c4cee9c486f162907befacb2980b2db6f3325d6368045eb8363540ff4

Download Submit
C:\Windows\System32\FFGyvlI.exe

Filesize
1.2MB

MD5
e160e55febdc5423f81ae12c754e010e

SHA1
4b82428516ad2c617c0b826fbf7aee6833ab1ffc

SHA256
8860c4a2d9dc77b40528d2810a7b7bf1c291cceb26e8b57163ac2a1112ccd941

SHA512
18faa992f652c8132a11cb151031fbd092139ac8573256e8761486fb4caa12460c5a9864ab5e080a7987a733db9f9020749081ca8a5c4a45cee8f2503fbf7765

Download Submit
C:\Windows\System32\JpkNnWD.exe

Filesize
1.2MB

MD5
a8fe74ca2131186bb11c4351341e4ae7

SHA1
c90a0e0c23ad34db65919c09cd5bd23a3e8ed94b

SHA256
81bf8a2d8dbc3d59c9ce1923d7224224831c20844f1e7699d2dd72c2ccec957b

SHA512
9c854774ecf4d339a312f7f16a50aa93a9bc45d18e2f1fd21d200192db245834c306d829b37719f90a80ab23b066de14588b748a8ed90e41aee7e16004da2e66

Download Submit
C:\Windows\System32\JtbpAQt.exe

Filesize
1.2MB

MD5
67c1784142052a92a20c49b15834afc9

SHA1
77132df1833425bfd4ace241d4519fe0a9e5aeb7

SHA256
80e6afe905bc1efbe9dd88984becc9d90c83b01e292d1b9c6b383017cbcf5cde

SHA512
b540e8a4c813fd9c272d7edaa5fc5300092cb8a50bec5f8ebdc5086fc9abb511b98583b78edcc2d8cd490a338f7866d0a6c35d43bd82099775167589d7389884

Download Submit
C:\Windows\System32\KGuBRJe.exe

Filesize
1.2MB

MD5
f26440f6bb05b64a3d3705eb84c7090f

SHA1
9c152d00e6ad7ee0a7b6500345f81bce27596500

SHA256
d690dad5894e6115afbf4e59dfc02a4dfc17405fa3b915478b2edbb39df7cf5d

SHA512
708a0badb183d76645289c3607437041c8a5e7ca6a8494367fb84d34f61ea36d8440199ce670949c8a3a1bf2bc0fe23f4a551b028e28f7dbe5ab583b06dd9630

Download Submit
C:\Windows\System32\LFhCkFP.exe

Filesize
1.2MB

MD5
8d2517d8df2c11b0537dbd00d1e4deaa

SHA1
24e027445efcbfb22c6f893a0ab7290ba982887b

SHA256
58a2529effb53493ec93bc4524bba3cffea8d70bb75836964f9e8b92166e0775

SHA512
29ac2a550a65bc2c81e85070efc97165f7d779d112b482bff049aef581ec855195c3e9dee7e49c808f941746ad307d7530e49411971ce58a832aac256e2675e0

Download Submit
C:\Windows\System32\LxYIzHf.exe

Filesize
1.2MB

MD5
ff9875639fb9d3a4e253972207c3a005

SHA1
4d9aa11dd3024dbeadebb7b514bc2296cf8e3a9d

SHA256
5711fcc55b4952e97eb369c4042753c73c5472ed35666baa1128c6fe2b160fab

SHA512
dcc1087662295c9e9953fbdebc9a857de343d4ad18f33f01e2b0cc6b18b1253238e34900c3137bee88f85cde927894b61ab207a4687d77d00cf5296595e1157d

Download Submit
C:\Windows\System32\MRjagfw.exe

Filesize
1.2MB

MD5
c8433cdc61847a847ad4ae58a3551769

SHA1
a0477f9d5fc74b0d423a4c73a70262115eae6b3e

SHA256
146e8d499bf0e73207d7f01c3d1774ec155437ca8b1e2eee47e659ef17430385

SHA512
e99c0145a9df0acdc2cbd957505fa5c5b907e56f0196909c396bc503fe5de5185dcb8c8795e72e3ccd789c2464695caf240313a49a5cee6e458e366262e115c5

Download Submit
C:\Windows\System32\MqmgaNU.exe

Filesize
1.2MB

MD5
fe4eeabc358c5fe9134dff0a50eb1cc4

SHA1
079a5961b7f734f9f0660950863bdb655bf57f71

SHA256
1cfce57d1f5b0171aa3806a3d60cd01c3ed2e9a38103913917b87cc2d09db65d

SHA512
7b76b05a411f73537e11d48240f083ff456a2c03f1e10cead3b3be15b7709b0c21e88bca7a00bebadde0f890f97eedbe1c4b2a61f39dc344bfbcd3a461b1a3cd

Download Submit
C:\Windows\System32\PbTgjvH.exe

Filesize
1.2MB

MD5
2e6eb6773458453690d993a38c9311e3

SHA1
3fa239b41fec12e53839f1d9e59f21d6bd98fecf

SHA256
5d75185efb9b97c396de2f63bb315d7c866e2a065210841485f7537fbd06fcbb

SHA512
b1ad247dd80378bd7a977c80b51f1fbe870d6e3f58410c35d47ea28e44b08e48a0df6d122580588e89addf6a004503905d999e977d92b2961c9c0a0a522f2185

Download Submit
C:\Windows\System32\QoVBjzY.exe

Filesize
1.2MB

MD5
69d843ca7f764edef46f3c1d833a2616

SHA1
dd519f527f024a86beba9d6e316125f06c8bf793

SHA256
68cfe7b96477780ec6bb62cddf86a612b04913c388437481a653855a25031591

SHA512
2dd3326f202359c27076b635a285a0180d0b79679591eb139c9adea215f6d00f77dce1ab3d867b855a2d5d1912129dc45311ee80db67424008f5348492c539b8

Download Submit
C:\Windows\System32\RPeZNKR.exe

Filesize
1.2MB

MD5
7dacf65535d4ddd223de159a58ab3c0f

SHA1
d749981d51dfa0e35de622e3828cb8ecc64bf1e2

SHA256
120ee082a68af908da3253121042b897ea60cadd3f6954813c848e6848e4a292

SHA512
4a14108e45bda2be88c804ac5f92ecebd93f26f8b20a1f13a7640a859d53060fe2799381bfdb94f8c29d644c39b9a64790cda03cd4262f0d66229ec4742c9b1c

Download Submit
C:\Windows\System32\STOILWD.exe

Filesize
1.2MB

MD5
c15575078dc05603511fba73da5874e4

SHA1
6fe4f0ac8fbb7bb8e20769cb56bf8762d34e83cd

SHA256
6ddb4260dbc17c13a9694195cb9fa06b1b426308bc056525e2248eedf89d1502

SHA512
4c653711f998005de77379ec0e3c02cc43b18d440cbfa1d06dd5fc46e6e8cd59a8ab2444bb7ad16fdb5d81f5de673482d9e1759e541efcd57a2ed210b0693f25

Download Submit
C:\Windows\System32\UjQXJmu.exe

Filesize
1.2MB

MD5
4a4a2dade8c7667c55e3a7cfd55c745b

SHA1
8233f2f91541d62448ad2c0274a164aafaec4046

SHA256
bef11dbc8ac9e6a253c4427396b4a2a249e334dd16e5c2dc87cdab3cabcebe0b

SHA512
09bac618459ed64ec113417e265409ff97e900bd785af1f0fd9861a5fbdc4a642c4dbf2015192ccdc743e6d785074e8ac2d52e6989639c573c1cc8dd9d9793a1

Download Submit
C:\Windows\System32\VXsFKRG.exe

Filesize
1.2MB

MD5
1c69760230def762780135b68dc99960

SHA1
b5e978e605d11555e332e10e1ef3b747a2ff5be3

SHA256
696f29d698a5a18e9fa65477571e60784de3042e022c603d5312e67d48e454d1

SHA512
9d9b54d25fcb407bb86068c6414a0dba8f617d5411e84ea1bdb10da299bb68f8d824a1490effa881ac7fefd5fcf820ac2792f45481a7cdcf20f2b866c52f7078

Download Submit
C:\Windows\System32\VwHAZua.exe

Filesize
1.2MB

MD5
465af38fc246422a826086ecfe57c5bc

SHA1
d54d582d24f98525b8da4c135cad84d6b5d556f5

SHA256
dde36d00eb963528cb22ec203b8557a029f8b1d42949b9f32869f528f2f93a88

SHA512
755f7bccacaea81971079eeb85f35e296010f96372486613e885b674e607e2d1ac797a779f94011b73478f953e3ca899fea62afa726e930e6f8674cd27d32336

Download Submit
C:\Windows\System32\YrGRkZX.exe

Filesize
1.2MB

MD5
b2e904fd0498f0d30a0d37532788481c

SHA1
9d2af02981cbc26c18daa16dd38613ee5681fe31

SHA256
1ef819ddab90b6eec52693596217cf3d8ef93521325ebec34bf23c687d52e844

SHA512
4c0cdb0d049df0cd0dcecfed1d2bae331c654412b1483fb78dc4fb3f678e6a542aecc0599dd694c18d8eb8c19327e9f302e6b2f2738ac06fe300697bbdabf8df

Download Submit
C:\Windows\System32\bHQwBRB.exe

Filesize
1.2MB

MD5
5cff3bfb8b19a665c08268ea25cc1dac

SHA1
9cc5ef16747105ee0929b27edfa0b4624a61c35d

SHA256
fcc945f85a41381c4064c49a6fa9b2665a028da90101bfb5abc3c7e1c4fcacf8

SHA512
b92fc12493281543f8100a91f76f5952c1ff01a4cafefeea3add0b4d34617ca1cf16dc6635652ece00231ff317d31fe8b30f21656272281861fdc276fab9dd29

Download Submit
C:\Windows\System32\eVRBhuh.exe

Filesize
1.2MB

MD5
ac08db4b291f3aff7fa5771146d22dcc

SHA1
e628c8d2d1b7c368215dbc56b72cf1622e514d55

SHA256
9232ee9813e86b55cd7ba7bcba7d6e9c5639b5b87b2fcc6deda7d69fa99289c8

SHA512
0b255ac72c626505cb19fc6aacdc845a5517294c7d1c656d56b64269609052b43f5114b72fdff6cdf91ec60d44908764423d0242a26abe226f3a2cad76530d28

Download Submit
C:\Windows\System32\giOnMcs.exe

Filesize
1.2MB

MD5
c96a78cc9e955d90c7b48dbe18ea02b6

SHA1
118140571752954d40443f0a082556f8a54fb9fb

SHA256
6585b53500c6ba0ba75cf2722c0806f8df0b192f4ec37373e8ddd0c54e7533af

SHA512
5e2e1c59c825bcee54f71733b1c38d647398c2dde4054b2778e5ea6ccfbabb53410d64bdb13a0c53ef20e88770aedcdd0618f7f3db81a18671428ed8ccf90dac

Download Submit
C:\Windows\System32\hVCNsJw.exe

Filesize
1.2MB

MD5
f21b22f5b93e88d52208b50e9215dd3a

SHA1
66373fb657c9c452726e570a2b451933fa45c508

SHA256
e01e5389b26c391d6141a7fdf4bf276c8e30edd5d1be3de2c4b29515f168acbf

SHA512
3954685172ed32598835b1dc9dc9ce25ca15c36e2503d9541d81b7dd52300f36aba86a45a29c8ef3ac2623fe00c18846e09c79c5553569c23948bd31fb885acd

Download Submit
C:\Windows\System32\kLiuxOH.exe

Filesize
1.2MB

MD5
ce9eca388d61c8377327ee784b749144

SHA1
5820dc0057a6c01f0211e721f1969ea65d0e085f

SHA256
acd8be3bab5df69c9500b17490fa6c773d83d3a8b809c40a11e57c7003c1d400

SHA512
6095a14ff6de2f92c1916e01e061529ee4a4e817dd294b0de2b458bb2c94e217974cacd10bd8c043ac91da48a918caf73f979a60882addc5ce3797fd61c6aef0

Download Submit
C:\Windows\System32\mBnCHeH.exe

Filesize
1.2MB

MD5
1b18011726297a5175e32308cec770f0

SHA1
f8861b545724b714510c6342299bfe091b7b7949

SHA256
bc798bf5fb7396d3614096e242832735428ad4a9bca3a0922a858d99fdf00fd2

SHA512
ca11df28d33c3cec51d6e6649c59141b5eb7a5c9f6e66dd1e69655be64bd562d95132b243b3633ed3f2e18fdee854d8e3d55d45f4db6738099ce4451b781057b

Download Submit
C:\Windows\System32\nyqrRtE.exe

Filesize
1.2MB

MD5
d43f0ac7ed2fa26a202cb98d57da6947

SHA1
f72f2f29929a3d67361e2bdec91aecb3d25aae60

SHA256
728675639421c27fa0a6e346071034596e794cbfaf413d50f50d9442a9033cc3

SHA512
917ec7d2894f75c40b8c0840ed0f785eb257a5c3f1b335f3b8cb4290403bf5a27216ca7c15ecf0de2d5eed979cd111844b20c4590071d6f52e112e9e3a545d3a

Download Submit
C:\Windows\System32\pDiHfLw.exe

Filesize
1.2MB

MD5
621721bc3591f49231b7a998c26005bf

SHA1
1bb49d0908df5014b5fbcdecea84128e1bd47d68

SHA256
1c82e7330ea3eb59038c1a627da1556b28a616a38a003d62a83c1f8d206a1aac

SHA512
67e874316c24a04cb11c2feed557d2fae1f89ef7dec643ce0ec7b8fcd33e4ec3375fa0d95ee0c7100ecf19c89e3c78798cb2b620744afaee1cafa81c19e641be

Download Submit
C:\Windows\System32\pNLClwv.exe

Filesize
1.2MB

MD5
f2a5ccdce1af42419d26fad4f88ea7f2

SHA1
b8524147b40113deeb528333f6e073549cfacbf7

SHA256
7b28ed0b414597e9dffd71d11f5796810b973aa67868232e48ea9d30e68a4004

SHA512
08e6e8bac58f7c40859c0f353e431ebe72621b609998eb27efb0e23518a3821b6606cb055f9e47116102bf75521b3127c385f068aaf03b5c62b8b2fd68377111

Download Submit
C:\Windows\System32\qDhAadW.exe

Filesize
1.2MB

MD5
9c9ddc9e2ae4a2e6d524a866d31d1669

SHA1
53ee87079dadef38e23a299e4ce5f7eeb6e124b6

SHA256
8cf9cfc08928cba4552d08eeb447fa1d5455f29281ccbecf02ac80be07b84305

SHA512
c79eee4e07b31f86af5f4ecf36c397c720373a70f92df64e079c613e37540158c9db1584562dff2772a77cb2760d811e13f7bc212500073603c51fd721e6b5f5

Download Submit
C:\Windows\System32\qFqVOLj.exe

Filesize
1.2MB

MD5
881fa132cf238691ed04f0717c2cc686

SHA1
a001628c705219579acdb314b3b9980fdf5daa1f

SHA256
30f5af164c8e587f4b36831a28bcadc022d0fec57f6496f697f0951778568986

SHA512
83638c8a5001f2f62135be590ee1d1d9ebb12a17052f1c229c99ce798a4fc7d896a985ce9ec9952bc54ec3534fc5dc138f4560c842d05d048d7422adc58ba826

Download Submit
C:\Windows\System32\qZGVnsg.exe

Filesize
1.2MB

MD5
57e870d4d351472e59aa7f682cf72241

SHA1
f15c9abfe48ccf1eba052049300b305dd9a13cbc

SHA256
a54c955727eae7d26975b748661216a82685f01cab256ee36964daee299eeebe

SHA512
f4885179019e505a3c3a8c5ad34ac468893961aa066f2c732c64a6645229d1ea7abf790c5d4ee2131b64c9bab2a575d6d90f57756788bea8c7d6f596c24e7891

Download Submit
C:\Windows\System32\vDHDWyj.exe

Filesize
1.2MB

MD5
62accdfc5b27e00840c4d18a965028dd

SHA1
5302333decf1b52fbfec729b23580f4104b4aad0

SHA256
da6d39bb713596c38f95b01a408975e36291e75aec4ac7271ce6377e2bba0101

SHA512
662d541bd3489dbcf97f3697e5286c42ff9af07fb4daa316e0c72a0998a2f6cc383d0d8878a3922b62a0d892ae1e00af2e5698ae38dad1bdbac3d51e4b4d2e7d

Download Submit
C:\Windows\System32\yoisJFu.exe

Filesize
1.2MB

MD5
08b0e50e3f84a59f3ba29273e868bc5b

SHA1
49d1db2e380d2c52cc3556c403ad93227dcf3afa

SHA256
fbf23476cea1a36a1460f6affcf48855790950c891a80906b7c151c2390eb299

SHA512
1806fa1976167ce6e624e896ac1a7b7ad45d8dc680b0f51b09ac76b46d2ee59e562449d6378a9d0ad59c6c0362b0d645f9273085d546b1d6844009d2c64256f8

Download Submit
memory/452-42-0x00007FF6748C0000-0x00007FF674CB1000-memory.dmp

Filesize
3.9MB

Download
memory/452-2143-0x00007FF6748C0000-0x00007FF674CB1000-memory.dmp

Filesize
3.9MB

Download
memory/768-46-0x00007FF645CD0000-0x00007FF6460C1000-memory.dmp

Filesize
3.9MB

Download
memory/768-2145-0x00007FF645CD0000-0x00007FF6460C1000-memory.dmp

Filesize
3.9MB

Download
memory/1084-690-0x00007FF632D70000-0x00007FF633161000-memory.dmp

Filesize
3.9MB

Download
memory/1084-2165-0x00007FF632D70000-0x00007FF633161000-memory.dmp

Filesize
3.9MB

Download
memory/1084-84-0x00007FF632D70000-0x00007FF633161000-memory.dmp

Filesize
3.9MB

Download
memory/1440-2147-0x00007FF720EC0000-0x00007FF7212B1000-memory.dmp

Filesize
3.9MB

Download
memory/1440-45-0x00007FF720EC0000-0x00007FF7212B1000-memory.dmp

Filesize
3.9MB

Download
memory/1716-1301-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp

Filesize
3.9MB

Download
memory/1716-2221-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp

Filesize
3.9MB

Download
memory/1716-151-0x00007FF75B5D0000-0x00007FF75B9C1000-memory.dmp

Filesize
3.9MB

Download
memory/1952-112-0x00007FF6E6F60000-0x00007FF6E7351000-memory.dmp

Filesize
3.9MB

Download
memory/1952-2207-0x00007FF6E6F60000-0x00007FF6E7351000-memory.dmp

Filesize
3.9MB

Download
memory/2176-147-0x00007FF679DF0000-0x00007FF67A1E1000-memory.dmp

Filesize
3.9MB

Download
memory/2176-2201-0x00007FF679DF0000-0x00007FF67A1E1000-memory.dmp

Filesize
3.9MB

Download
memory/2524-2216-0x00007FF6B4380000-0x00007FF6B4771000-memory.dmp

Filesize
3.9MB

Download
memory/2524-154-0x00007FF6B4380000-0x00007FF6B4771000-memory.dmp

Filesize
3.9MB

Download
memory/2596-1158-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp

Filesize
3.9MB

Download
memory/2596-111-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp

Filesize
3.9MB

Download
memory/2596-2177-0x00007FF7A9640000-0x00007FF7A9A31000-memory.dmp

Filesize
3.9MB

Download
memory/2600-2175-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp

Filesize
3.9MB

Download
memory/2600-68-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp

Filesize
3.9MB

Download
memory/2600-355-0x00007FF6247C0000-0x00007FF624BB1000-memory.dmp

Filesize
3.9MB

Download
memory/2668-989-0x00007FF6BBDF0000-0x00007FF6BC1E1000-memory.dmp

Filesize
3.9MB

Download
memory/2668-2218-0x00007FF6BBDF0000-0x00007FF6BC1E1000-memory.dmp

Filesize
3.9MB

Download
memory/2668-93-0x00007FF6BBDF0000-0x00007FF6BC1E1000-memory.dmp

Filesize
3.9MB

Download
memory/2956-2169-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp

Filesize
3.9MB

Download
memory/2956-52-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp

Filesize
3.9MB

Download
memory/2956-354-0x00007FF6FCFB0000-0x00007FF6FD3A1000-memory.dmp

Filesize
3.9MB

Download
memory/2988-357-0x00007FF7043B0000-0x00007FF7047A1000-memory.dmp

Filesize
3.9MB

Download
memory/2988-74-0x00007FF7043B0000-0x00007FF7047A1000-memory.dmp

Filesize
3.9MB

Download
memory/3140-1-0x000002C3BE580000-0x000002C3BE590000-memory.dmp

Filesize
64KB

Download
memory/3140-0-0x00007FF65A830000-0x00007FF65AC21000-memory.dmp

Filesize
3.9MB

Download
memory/3140-87-0x00007FF65A830000-0x00007FF65AC21000-memory.dmp

Filesize
3.9MB

Download
memory/3164-2205-0x00007FF678110000-0x00007FF678501000-memory.dmp

Filesize
3.9MB

Download
memory/3164-131-0x00007FF678110000-0x00007FF678501000-memory.dmp

Filesize
3.9MB

Download
memory/3300-2214-0x00007FF6BABA0000-0x00007FF6BAF91000-memory.dmp

Filesize
3.9MB

Download
memory/3300-143-0x00007FF6BABA0000-0x00007FF6BAF91000-memory.dmp

Filesize
3.9MB

Download
memory/3596-1162-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp

Filesize
3.9MB

Download
memory/3596-127-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp

Filesize
3.9MB

Download
memory/3596-2203-0x00007FF6D8AB0000-0x00007FF6D8EA1000-memory.dmp

Filesize
3.9MB

Download
memory/3612-2137-0x00007FF66DA70000-0x00007FF66DE61000-memory.dmp

Filesize
3.9MB

Download
memory/3612-8-0x00007FF66DA70000-0x00007FF66DE61000-memory.dmp

Filesize
3.9MB

Download
memory/3612-98-0x00007FF66DA70000-0x00007FF66DE61000-memory.dmp

Filesize
3.9MB

Download
memory/3952-100-0x00007FF74D390000-0x00007FF74D781000-memory.dmp

Filesize
3.9MB

Download
memory/3952-17-0x00007FF74D390000-0x00007FF74D781000-memory.dmp

Filesize
3.9MB

Download
memory/3952-2139-0x00007FF74D390000-0x00007FF74D781000-memory.dmp

Filesize
3.9MB

Download
memory/4000-134-0x00007FF6F23A0000-0x00007FF6F2791000-memory.dmp

Filesize
3.9MB

Download
memory/4000-2200-0x00007FF6F23A0000-0x00007FF6F2791000-memory.dmp

Filesize
3.9MB

Download
memory/4172-2171-0x00007FF698610000-0x00007FF698A01000-memory.dmp

Filesize
3.9MB

Download
memory/4172-588-0x00007FF698610000-0x00007FF698A01000-memory.dmp

Filesize
3.9MB

Download
memory/4172-79-0x00007FF698610000-0x00007FF698A01000-memory.dmp

Filesize
3.9MB

Download
memory/4456-2149-0x00007FF705710000-0x00007FF705B01000-memory.dmp

Filesize
3.9MB

Download
memory/4456-48-0x00007FF705710000-0x00007FF705B01000-memory.dmp

Filesize
3.9MB

Download
memory/4500-76-0x00007FF7E4F20000-0x00007FF7E5311000-memory.dmp

Filesize
3.9MB

Download
memory/4532-72-0x00007FF725F20000-0x00007FF726311000-memory.dmp

Filesize
3.9MB

Download
memory/4532-2173-0x00007FF725F20000-0x00007FF726311000-memory.dmp

Filesize
3.9MB

Download
memory/4736-2141-0x00007FF65B6F0000-0x00007FF65BAE1000-memory.dmp

Filesize
3.9MB

Download
memory/4736-25-0x00007FF65B6F0000-0x00007FF65BAE1000-memory.dmp

Filesize
3.9MB

Download
memory/4736-138-0x00007FF65B6F0000-0x00007FF65BAE1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads