18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092

Analysis

max time kernel
150s
max time network
16s
platform
windows7_x64
resource
win7-20240729-en
resource tags

arch:x64arch:x86image:win7-20240729-enlocale:en-usos:windows7-x64system
submitted
02/10/2024, 11:03

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
Size

148KB
MD5

392e0c5de18e3719853da43a4f93d860
SHA1

00551727e055087481bf76c639dd213e9947fb79
SHA256

18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092
SHA512

de98722b1d4fcc03038ea9d26cec1b0a5c459e70cd1e5779fbb74d2d156453b77cf7bbf2a9740786f0c26463c053a4d35db50487264f9ba294f792d724aefb43
SSDEEP

1536:nrel3XWo2VxyMcCbncBVZWX5HzvCxGYCBbxTNyThXPr:rC3XWoixXDncBV4X5HzKxGYCzTNyTJr

Score

10^/10

discovery evasion persistence

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 2 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Drops file in Drivers directory 3 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe

Executes dropped EXE 64 IoCs

pid	Process
788	userinit.exe
2156	taskmgr.exe
2744	csrss.exe
2828	userinit.exe
2084	taskmgr.exe
2800	csrss.exe
2600	userinit.exe
2664	taskmgr.exe
2248	csrss.exe
620	userinit.exe
1032	taskmgr.exe
2352	csrss.exe
1496	userinit.exe
1340	taskmgr.exe
1072	csrss.exe
2656	userinit.exe
268	taskmgr.exe
2904	csrss.exe
1824	userinit.exe
2060	taskmgr.exe
2432	csrss.exe
1512	userinit.exe
2220	taskmgr.exe
2180	csrss.exe
2552	userinit.exe
936	taskmgr.exe
2768	csrss.exe
680	userinit.exe
2484	taskmgr.exe
1544	csrss.exe
264	userinit.exe
2540	taskmgr.exe
2020	csrss.exe
1640	userinit.exe
1828	taskmgr.exe
2032	csrss.exe
2380	userinit.exe
1980	taskmgr.exe
1768	csrss.exe
628	userinit.exe
1232	taskmgr.exe
2364	csrss.exe
3012	userinit.exe
1104	taskmgr.exe
1752	csrss.exe
860	userinit.exe
664	taskmgr.exe
2528	csrss.exe
1516	userinit.exe
2776	taskmgr.exe
2368	csrss.exe
2732	userinit.exe
2728	taskmgr.exe
2808	csrss.exe
2868	userinit.exe
2676	taskmgr.exe
2960	csrss.exe
2844	userinit.exe
2852	taskmgr.exe
2724	csrss.exe
2700	userinit.exe
2620	taskmgr.exe
2584	csrss.exe
3052	userinit.exe

Loads dropped DLL 64 IoCs

pid	Process
2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
788	userinit.exe
788	userinit.exe
2156	taskmgr.exe
2156	taskmgr.exe
2744	csrss.exe
2744	csrss.exe
788	userinit.exe
788	userinit.exe
2084	taskmgr.exe
2084	taskmgr.exe
2800	csrss.exe
2800	csrss.exe
788	userinit.exe
788	userinit.exe
2664	taskmgr.exe
2664	taskmgr.exe
2248	csrss.exe
2248	csrss.exe
788	userinit.exe
788	userinit.exe
1032	taskmgr.exe
1032	taskmgr.exe
2352	csrss.exe
2352	csrss.exe
788	userinit.exe
788	userinit.exe
1340	taskmgr.exe
1340	taskmgr.exe
1072	csrss.exe
1072	csrss.exe
788	userinit.exe
788	userinit.exe
268	taskmgr.exe
268	taskmgr.exe
2904	csrss.exe
2904	csrss.exe
788	userinit.exe
788	userinit.exe
2060	taskmgr.exe
2060	taskmgr.exe
2432	csrss.exe
788	userinit.exe
788	userinit.exe
2220	taskmgr.exe
2220	taskmgr.exe
2180	csrss.exe
788	userinit.exe
788	userinit.exe
936	taskmgr.exe
936	taskmgr.exe
2768	csrss.exe
788	userinit.exe
788	userinit.exe
2484	taskmgr.exe
2484	taskmgr.exe
1544	csrss.exe
788	userinit.exe
788	userinit.exe
2540	taskmgr.exe
2540	taskmgr.exe
2020	csrss.exe
788	userinit.exe

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\system\userinit.exe	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	taskmgr.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	userinit.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe
788	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
788	userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
788	userinit.exe
2156	taskmgr.exe
2744	csrss.exe
2828	userinit.exe
788	userinit.exe
2084	taskmgr.exe
2800	csrss.exe
2600	userinit.exe
2664	taskmgr.exe
2248	csrss.exe
620	userinit.exe
1032	taskmgr.exe
2352	csrss.exe
1496	userinit.exe
1340	taskmgr.exe
1072	csrss.exe
2656	userinit.exe
268	taskmgr.exe
2904	csrss.exe
1824	userinit.exe
2060	taskmgr.exe
2432	csrss.exe
1512	userinit.exe
2220	taskmgr.exe
2180	csrss.exe
2552	userinit.exe
936	taskmgr.exe
2768	csrss.exe
680	userinit.exe
2484	taskmgr.exe
1544	csrss.exe
264	userinit.exe
2540	taskmgr.exe
2020	csrss.exe
1640	userinit.exe
1828	taskmgr.exe
2032	csrss.exe
2380	userinit.exe
1980	taskmgr.exe
1768	csrss.exe
628	userinit.exe
1232	taskmgr.exe
2364	csrss.exe
3012	userinit.exe
1104	taskmgr.exe
1752	csrss.exe
860	userinit.exe
664	taskmgr.exe
2528	csrss.exe
1516	userinit.exe
2776	taskmgr.exe
2368	csrss.exe
2732	userinit.exe
2728	taskmgr.exe
2808	csrss.exe
2868	userinit.exe
2676	taskmgr.exe
2960	csrss.exe
2844	userinit.exe
2852	taskmgr.exe
2724	csrss.exe
2700	userinit.exe
2620	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2128 wrote to memory of 788	2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe	29
PID 2128 wrote to memory of 788	2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe	29
PID 2128 wrote to memory of 788	2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe	29
PID 2128 wrote to memory of 788	2128	18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe	29
PID 788 wrote to memory of 2156	788	userinit.exe	30
PID 788 wrote to memory of 2156	788	userinit.exe	30
PID 788 wrote to memory of 2156	788	userinit.exe	30
PID 788 wrote to memory of 2156	788	userinit.exe	30
PID 2156 wrote to memory of 2744	2156	taskmgr.exe	31
PID 2156 wrote to memory of 2744	2156	taskmgr.exe	31
PID 2156 wrote to memory of 2744	2156	taskmgr.exe	31
PID 2156 wrote to memory of 2744	2156	taskmgr.exe	31
PID 2744 wrote to memory of 2828	2744	csrss.exe	32
PID 2744 wrote to memory of 2828	2744	csrss.exe	32
PID 2744 wrote to memory of 2828	2744	csrss.exe	32
PID 2744 wrote to memory of 2828	2744	csrss.exe	32
PID 788 wrote to memory of 2084	788	userinit.exe	33
PID 788 wrote to memory of 2084	788	userinit.exe	33
PID 788 wrote to memory of 2084	788	userinit.exe	33
PID 788 wrote to memory of 2084	788	userinit.exe	33
PID 2084 wrote to memory of 2800	2084	taskmgr.exe	34
PID 2084 wrote to memory of 2800	2084	taskmgr.exe	34
PID 2084 wrote to memory of 2800	2084	taskmgr.exe	34
PID 2084 wrote to memory of 2800	2084	taskmgr.exe	34
PID 2800 wrote to memory of 2600	2800	csrss.exe	35
PID 2800 wrote to memory of 2600	2800	csrss.exe	35
PID 2800 wrote to memory of 2600	2800	csrss.exe	35
PID 2800 wrote to memory of 2600	2800	csrss.exe	35
PID 788 wrote to memory of 2664	788	userinit.exe	36
PID 788 wrote to memory of 2664	788	userinit.exe	36
PID 788 wrote to memory of 2664	788	userinit.exe	36
PID 788 wrote to memory of 2664	788	userinit.exe	36
PID 2664 wrote to memory of 2248	2664	taskmgr.exe	37
PID 2664 wrote to memory of 2248	2664	taskmgr.exe	37
PID 2664 wrote to memory of 2248	2664	taskmgr.exe	37
PID 2664 wrote to memory of 2248	2664	taskmgr.exe	37
PID 2248 wrote to memory of 620	2248	csrss.exe	38
PID 2248 wrote to memory of 620	2248	csrss.exe	38
PID 2248 wrote to memory of 620	2248	csrss.exe	38
PID 2248 wrote to memory of 620	2248	csrss.exe	38
PID 788 wrote to memory of 1032	788	userinit.exe	39
PID 788 wrote to memory of 1032	788	userinit.exe	39
PID 788 wrote to memory of 1032	788	userinit.exe	39
PID 788 wrote to memory of 1032	788	userinit.exe	39
PID 1032 wrote to memory of 2352	1032	taskmgr.exe	40
PID 1032 wrote to memory of 2352	1032	taskmgr.exe	40
PID 1032 wrote to memory of 2352	1032	taskmgr.exe	40
PID 1032 wrote to memory of 2352	1032	taskmgr.exe	40
PID 2352 wrote to memory of 1496	2352	csrss.exe	41
PID 2352 wrote to memory of 1496	2352	csrss.exe	41
PID 2352 wrote to memory of 1496	2352	csrss.exe	41
PID 2352 wrote to memory of 1496	2352	csrss.exe	41
PID 788 wrote to memory of 1340	788	userinit.exe	42
PID 788 wrote to memory of 1340	788	userinit.exe	42
PID 788 wrote to memory of 1340	788	userinit.exe	42
PID 788 wrote to memory of 1340	788	userinit.exe	42
PID 1340 wrote to memory of 1072	1340	taskmgr.exe	43
PID 1340 wrote to memory of 1072	1340	taskmgr.exe	43
PID 1340 wrote to memory of 1072	1340	taskmgr.exe	43
PID 1340 wrote to memory of 1072	1340	taskmgr.exe	43
PID 1072 wrote to memory of 2656	1072	csrss.exe	44
PID 1072 wrote to memory of 2656	1072	csrss.exe	44
PID 1072 wrote to memory of 2656	1072	csrss.exe	44
PID 1072 wrote to memory of 2656	1072	csrss.exe	44

C:\Users\Admin\AppData\Local\Temp\18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe
"C:\Users\Admin\AppData\Local\Temp\18678aaa1466bd443fcf96de66a2b26a9dcffdad78988d0deffbf2ead7743092N.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2128
- \??\c:\windows\system\userinit.exe
  c:\windows\system\userinit.exe
  2⤵
  - Modifies WinLogon for persistence
  - Modifies visiblity of hidden/system files in Explorer
  - Boot or Logon Autostart Execution: Active Setup
  - Drops file in Drivers directory
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - Drops file in Windows directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious behavior: GetForegroundWindowSpam
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Drops file in Drivers directory
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2156
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2744
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2800
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2248
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:1032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2352
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1496
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:1340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1072
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    PID:268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    PID:2060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    PID:2220
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2180
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    PID:936
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2768
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:680
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    PID:2484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:1544
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:264
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious use of SetWindowsHookEx
    PID:2540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1980
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1768
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1752
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:860
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2776
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2368
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2732
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2728
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2808
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2868
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2676
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2960
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2844
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2852
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2724
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2700
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2620
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      PID:2584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        
        PID:3052
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2248
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2308
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1812
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1956
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1740
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1072
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2656
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2136
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2068
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1204
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2252
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2152
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:596
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2996
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1544
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1616
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2020
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2356
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1980
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2364
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2304
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2956
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2808
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2860
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2624
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:408
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2756
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2800
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2632
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3068
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2908
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2456
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2104
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2856
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2516
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1228
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2648
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2264
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2872
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1764
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2372
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2164
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2252
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2480
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2180
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2272
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1804
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1836
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1832
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2280
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:852
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1924
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1656
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2364
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2964
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:908
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2680
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2944
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2816
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2808
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2692
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2592
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2428
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1124
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2436
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1812
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1648
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1632
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2228
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2388
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2968
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1204
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1260
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1544
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1760
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:276
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1768
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1472
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2140
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1476
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:844
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:740
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2224
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2148
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2312
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2816
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2808
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2724
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - System Location Discovery: System Language Discovery
    PID:2052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2824
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3068
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1504
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1448
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2440
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2144
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1812
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2628
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2648
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2072
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1240
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2136
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2172
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2968
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2768
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2468
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2180
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:936
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2184
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2376
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2356
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:852
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:492
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1924
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2140
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1752
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2288
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1568
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2732
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2192
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2728
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2336
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2720
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2868
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2724
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2892
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2592
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2616
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2752
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1496
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1128
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2308
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2104
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1316
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2940
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2796
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2976
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2420
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2264
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2388
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2988
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2236
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2164
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:680
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1692
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2548
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:976
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1804
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2376
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1996
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2004
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2204
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2108
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1584
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2832
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2708
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2844
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2024
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2632
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2008
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1128
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2248
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1504
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1316
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2688
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1076
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2228
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2920
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2264
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2252
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1416
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2768
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1616
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1692
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:936
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2284
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1260
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2376
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1220
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2004
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1456
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:348
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2108
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1580
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2288
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1104
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2732
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2312
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2700
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2692
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2892
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2592
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1128
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2532
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1080
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2460
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1632
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3028
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2384
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2136
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2432
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2968
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1320
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2468
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1132
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:820
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:268
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:976
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1544
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1260
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1224
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2324
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1536
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:860
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1924
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:348
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1568
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2884
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2380
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1104
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1624
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2720
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2708
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2892
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2908
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2556
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3048
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1128
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1316
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2308
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1388
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1740
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2940
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2264
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2220
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2172
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2544
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2768
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:824
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1416
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2072
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2424
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1804
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1544
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - System Location Discovery: System Language Discovery
    PID:3012
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3000
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2204
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2092
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2168
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2268
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2696
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2368
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2816
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1624
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2312
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2604
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2700
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2276
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - System Location Discovery: System Language Discovery
    PID:2452
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2440
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2332
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1068
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - System Location Discovery: System Language Discovery
    PID:1072
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2648
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1892
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2244
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2068
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1320
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2548
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1244
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1816
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:264
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:268
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2924
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1844
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2272
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2672
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:576
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:376
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1596
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2256
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2304
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1980
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1564
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1828
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1104
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2280
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2676
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2624
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2720
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3060
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2632
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2692
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2452
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3048
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2396
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1812
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2652
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2928
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2792
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1732
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2208
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2656
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2172
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1112
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2220
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2236
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2164
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2200
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1884
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2004
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2376
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3008
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:864
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2288
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1472
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1476
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2364
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2820
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2732
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:740
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2808
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2716
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2640
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1652
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:408
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2800
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2440
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2876
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:744
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2532
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2600
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2652
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1600
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1892
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:776
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2172
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2160
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2220
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:268
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2044
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1076
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1844
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2004
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2256
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1848
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:908
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:864
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1656
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2120
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2088
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2868
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1624
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2780
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1652
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2752
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2352
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1496
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1072
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1812
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2648
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2652
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1228
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2384
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2976
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2900
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2264
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1240
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1244
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2136
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2548
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2284
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:936
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2180
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1844
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2376
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:376
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1848
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1924
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1472
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2192
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2380
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1536
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2148
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2708
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2780
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2784
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2632
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1792
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2352
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2872
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2460
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2648
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1956
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1600
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2936
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2572
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2244
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2136
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1204
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2424
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:936
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2252
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2180
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1844
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1456
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2256
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2944
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2812
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2696
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1656
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2808
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2368
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2676
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2400
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2716
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2024
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2608
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1792
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2452
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1316
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2352
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1128
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1648
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3044
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2456
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - System Location Discovery: System Language Discovery
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2652
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:880
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2572
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1616
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2064
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1204
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:600
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1884
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2180
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2020
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1224
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:852
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:376
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2256
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2304
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2740
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1584
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1828
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2380
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1624
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2804
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2016
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2260
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2868
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1064
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2908
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1652
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2536
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2460
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1956
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1892
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2544
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2236
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2172
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2432
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2164
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1132
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2284
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2424
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2180
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2004
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1984
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1476
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3024
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1924
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2844
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2868
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2692
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - System Location Discovery: System Language Discovery
    PID:2836
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1652
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1124
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2352
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1648
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2684
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2852
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2968
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2552
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2208
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2236

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\drivers\csrss.exe

Filesize
148KB

MD5
81ba7b426f1616352ce0179e59ba70bb

SHA1
5b303fe06cc1ac64d061800d223957c98fd978f6

SHA256
f6f233f2b94bc52bac483f2b66641b50eb19b1628f4e6a38b40c0d75285abb55

SHA512
405a091f177cce2fc50523fb6040cfa21d6c59c2d191ea3fffef5754a5b3396132d89243ddc3687af8ecfc2e864fe22e88e8dae7fbb3328318346e02c0676220

Download Submit
\Windows\SysWOW64\drivers\taskmgr.exe

Filesize
148KB

MD5
3a87a04158190db2e754893778ecab0f

SHA1
2a0d939742390529fc46281de6628aafb4838fbb

SHA256
9c3c362b63b0e9db9b7acec61b43157a2df17f3196229e4fc7ce8e48d0d4d481

SHA512
f4c7e1f8813052494400046643145d1ee517ac09bb519dc5c87a23ffaca7fde82596349b3ca6087520640bd5e5ea7150f2f79c1c53c3f353b7bb42002e4b9234

Download Submit
\Windows\system\userinit.exe

Filesize
148KB

MD5
a9712b749d2e7c1829fcb5d2b486d167

SHA1
1a835601827d732d7eee479f0c76a94923a054c6

SHA256
cc10b9f2f38e4853dce95354c74cc5c029aa2f7e99aa696b5eaea0185e54789e

SHA512
77ad236c9cc9afb4618880b997545fee89b4e23f55342a2a2d5e0c58b62516d49e7a2a55b16b09758c399f3a1441263a0ed1d681d5a2e2120fa8bd33074627c3

Download Submit
memory/3020-2968-0x0000000002C90000-0x0000000002DA0000-memory.dmp

Filesize
1.1MB

Download
memory/3020-2966-0x0000000077780000-0x000000007789F000-memory.dmp

Filesize
1.1MB

Download
memory/3020-2565-0x00000000778A0000-0x000000007799A000-memory.dmp

Filesize
1000KB

Download
memory/3020-2564-0x0000000077780000-0x000000007789F000-memory.dmp

Filesize
1.1MB

Download
memory/3020-2969-0x00000000003D0000-0x00000000003F2000-memory.dmp

Filesize
136KB

Download
memory/3020-308-0x0000000077780000-0x000000007789F000-memory.dmp

Filesize
1.1MB

Download
memory/3020-2967-0x00000000778A0000-0x000000007799A000-memory.dmp

Filesize
1000KB

Download
memory/3020-309-0x00000000778A0000-0x000000007799A000-memory.dmp

Filesize
1000KB

Download
memory/3020-3634-0x0000000077780000-0x000000007789F000-memory.dmp

Filesize
1.1MB

Download
memory/3020-3636-0x0000000003000000-0x0000000003110000-memory.dmp

Filesize
1.1MB

Download
memory/3020-3635-0x00000000778A0000-0x000000007799A000-memory.dmp

Filesize
1000KB

Download
memory/3020-3909-0x0000000001DF0000-0x0000000001E12000-memory.dmp

Filesize
136KB

Download
memory/3020-3908-0x0000000000510000-0x0000000000532000-memory.dmp

Filesize
136KB

Download
memory/3020-3906-0x00000000778A0000-0x000000007799A000-memory.dmp

Filesize
1000KB

Download
memory/3020-3905-0x0000000077780000-0x000000007789F000-memory.dmp

Filesize
1.1MB

Download