ammyyadmin | f4e3e14a56ab60fab5dd044a620af578cf7dd3579a82a7b72e574c87a792e0a5

Analysis

max time kernel
150s
max time network
141s
platform
windows7_x64
resource
win7-20240903-en
resource tags

arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system
submitted
09-10-2024 07:28

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
Size

894KB
MD5

2d37ea2c6cf72bd33a80e84f3cd55960
SHA1

f0572065fa9fa03904fd3f85f3e8b8a8dc8986ae
SHA256

f4e3e14a56ab60fab5dd044a620af578cf7dd3579a82a7b72e574c87a792e0a5
SHA512

6d6cdef13d5bd20d6f387bc130e13c498bb71da01146eb1645e4d0e0125a07f8d0518b9fef9760ac1653343c1c66778268209e055bd598dcb0a88c29d36fb7d9
SSDEEP

24576:8NZaOH+kbCr/c4+9hm7r1Rt4MmylZDV6A:8aOHnCbc39hgr53DR

Score

10^/10

ammyyadmin flawedammyy discovery evasion persistence rat trojan

Malware Config

Signatures

Ammyy Admin
Remote admin tool with various capabilities.
rat ammyyadmin

AmmyyAdmin payload 1 IoCs

Processes:

resource	yara_rule
C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	family_ammyyadmin

FlawedAmmyy RAT
Remote-access trojan based on leaked code for the Ammyy remote admin software.
trojan flawedammyy

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\explorer.exe"	explorer.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	explorer.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 6 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\StubPath = "c:\\windows\\system32\\drivers\\mr.exe"	explorer.exe
Key deleted	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	explorer.exe
Key deleted	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}	explorer.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "c:\\windows\\system32\\drivers\\mr.exe"	explorer.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}	explorer.exe

Drops file in Drivers directory 3 IoCs

Processes:

explorer.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\spoolsv.exe	explorer.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\mr.exe	explorer.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\udsys.exe	explorer.exe

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

description	ioc	process
Key value queried	\REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Control Panel\International\Geo\Nation	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Executes dropped EXE 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe 2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe 2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe icsys.icn.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exe

pid	process
3052	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
2304	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
2800	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
2344	icsys.icn.exe
2776	explorer.exe
2736	spoolsv.exe
2792	explorer.exe
1756	spoolsv.exe
852	explorer.exe
2128	spoolsv.exe
1004	explorer.exe
1012	spoolsv.exe
1968	explorer.exe
1708	spoolsv.exe
1672	explorer.exe
2220	spoolsv.exe
2092	explorer.exe
2224	spoolsv.exe
620	explorer.exe
2796	spoolsv.exe
1832	explorer.exe
1640	spoolsv.exe
2412	explorer.exe
1800	spoolsv.exe
1560	explorer.exe
316	spoolsv.exe
1764	explorer.exe
2000	spoolsv.exe
1392	explorer.exe
1608	spoolsv.exe
1316	explorer.exe
1612	spoolsv.exe
2100	explorer.exe
2288	spoolsv.exe
2556	explorer.exe
1668	spoolsv.exe
2032	explorer.exe
2308	spoolsv.exe
2520	explorer.exe
1628	spoolsv.exe
2112	explorer.exe
2292	spoolsv.exe
2256	explorer.exe
2360	spoolsv.exe
2816	explorer.exe
2260	spoolsv.exe
2884	explorer.exe
2824	spoolsv.exe
2768	explorer.exe
2644	spoolsv.exe
2648	explorer.exe
2732	spoolsv.exe
2696	explorer.exe
2852	spoolsv.exe
2740	explorer.exe
2148	spoolsv.exe
3032	explorer.exe
852	spoolsv.exe
1152	explorer.exe
1644	spoolsv.exe
2028	explorer.exe
1600	spoolsv.exe
1688	explorer.exe
1972	spoolsv.exe

Loads dropped DLL 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe icsys.icn.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exe

pid	process
2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
2304	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
2344	icsys.icn.exe
2344	icsys.icn.exe
2776	explorer.exe
2776	explorer.exe
2736	spoolsv.exe
2736	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1756	spoolsv.exe
1756	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2128	spoolsv.exe
2128	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1012	spoolsv.exe
1012	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1708	spoolsv.exe
1708	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2220	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2224	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2796	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1640	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1800	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
316	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2000	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1608	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1612	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2288	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
1668	spoolsv.exe
2776	explorer.exe
2776	explorer.exe
2308	spoolsv.exe
2776	explorer.exe

Adds Run key to start application 2 TTPs 3 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe"	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe RO"	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Svchost = "c:\\windows\\system32\\drivers\\svchost.exe RO"	explorer.exe

Drops file in Windows directory 2 IoCs

Processes:

icsys.icn.exeexplorer.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\explorer.exe	icsys.icn.exe
File opened for modification	\??\c:\windows\system\explorer.exe	explorer.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

Processes:

explorer.exespoolsv.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exeexplorer.exeexplorer.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exeexplorer.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language

Modifies data under HKEY_USERS 6 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

description	ioc	process
Key created	\REGISTRY\USER\.DEFAULT\SOFTWARE\Ammyy\Admin	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\SOFTWARE	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\SOFTWARE\Ammyy	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Set value (data)	\REGISTRY\USER\.DEFAULT\SOFTWARE\Ammyy\Admin\hr = 537d567366087c6658524c175253476d83e73445b36b	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Set value (data)	\REGISTRY\USER\.DEFAULT\SOFTWARE\Ammyy\Admin\hr3 = 0541b89fb466042ebaa7a67c0b2af5d11251c6a0c01d13d1d3d0bb7a9431ad665ff4c9481fc1fa05f4ddde9dd1b7641153301dfc1492533e298d3f78559a19bc8428cbede029e6ed7c0bcf	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

icsys.icn.exeexplorer.exe

pid	process
2344	icsys.icn.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe
2776	explorer.exe

Suspicious use of FindShellTrayWindow 1 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

pid process

2800 2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Suspicious use of SendNotifyMessage 1 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

pid process

2800 2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

pid	process
2800	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

pid	process
2800	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exeicsys.icn.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exe

pid	process
2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
2344	icsys.icn.exe
2344	icsys.icn.exe
2776	explorer.exe
2776	explorer.exe
2736	spoolsv.exe
2736	spoolsv.exe
2792	explorer.exe
2792	explorer.exe
2776	explorer.exe
2776	explorer.exe
1756	spoolsv.exe
1756	spoolsv.exe
852	explorer.exe
852	explorer.exe
2128	spoolsv.exe
2128	spoolsv.exe
1004	explorer.exe
1004	explorer.exe
1012	spoolsv.exe
1012	spoolsv.exe
1968	explorer.exe
1968	explorer.exe
1708	spoolsv.exe
1708	spoolsv.exe
1672	explorer.exe
1672	explorer.exe
2220	spoolsv.exe
2220	spoolsv.exe
2092	explorer.exe
2092	explorer.exe
2224	spoolsv.exe
2224	spoolsv.exe
620	explorer.exe
620	explorer.exe
2796	spoolsv.exe
2796	spoolsv.exe
1832	explorer.exe
1832	explorer.exe
1640	spoolsv.exe
1640	spoolsv.exe
2412	explorer.exe
2412	explorer.exe
1800	spoolsv.exe
1800	spoolsv.exe
1560	explorer.exe
1560	explorer.exe
316	spoolsv.exe
316	spoolsv.exe
1764	explorer.exe
1764	explorer.exe
2000	spoolsv.exe
2000	spoolsv.exe
1392	explorer.exe
1392	explorer.exe
1608	spoolsv.exe
1608	spoolsv.exe
1316	explorer.exe
1316	explorer.exe
1612	spoolsv.exe
1612	spoolsv.exe
2100	explorer.exe
2100	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe icsys.icn.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exe

description	pid	process	target process
PID 2380 wrote to memory of 3052	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2380 wrote to memory of 3052	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2380 wrote to memory of 3052	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2380 wrote to memory of 3052	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2304 wrote to memory of 2800	2304	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2304 wrote to memory of 2800	2304	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2304 wrote to memory of 2800	2304	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2304 wrote to memory of 2800	2304	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
PID 2380 wrote to memory of 2344	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	icsys.icn.exe
PID 2380 wrote to memory of 2344	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	icsys.icn.exe
PID 2380 wrote to memory of 2344	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	icsys.icn.exe
PID 2380 wrote to memory of 2344	2380	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	icsys.icn.exe
PID 2344 wrote to memory of 2776	2344	icsys.icn.exe	explorer.exe
PID 2344 wrote to memory of 2776	2344	icsys.icn.exe	explorer.exe
PID 2344 wrote to memory of 2776	2344	icsys.icn.exe	explorer.exe
PID 2344 wrote to memory of 2776	2344	icsys.icn.exe	explorer.exe
PID 2776 wrote to memory of 2736	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2736	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2736	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2736	2776	explorer.exe	spoolsv.exe
PID 2736 wrote to memory of 2792	2736	spoolsv.exe	explorer.exe
PID 2736 wrote to memory of 2792	2736	spoolsv.exe	explorer.exe
PID 2736 wrote to memory of 2792	2736	spoolsv.exe	explorer.exe
PID 2736 wrote to memory of 2792	2736	spoolsv.exe	explorer.exe
PID 2776 wrote to memory of 2640	2776	explorer.exe	Explorer.exe
PID 2776 wrote to memory of 2640	2776	explorer.exe	Explorer.exe
PID 2776 wrote to memory of 2640	2776	explorer.exe	Explorer.exe
PID 2776 wrote to memory of 2640	2776	explorer.exe	Explorer.exe
PID 2776 wrote to memory of 1756	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1756	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1756	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1756	2776	explorer.exe	spoolsv.exe
PID 1756 wrote to memory of 852	1756	spoolsv.exe	explorer.exe
PID 1756 wrote to memory of 852	1756	spoolsv.exe	explorer.exe
PID 1756 wrote to memory of 852	1756	spoolsv.exe	explorer.exe
PID 1756 wrote to memory of 852	1756	spoolsv.exe	explorer.exe
PID 2776 wrote to memory of 2128	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2128	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2128	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2128	2776	explorer.exe	spoolsv.exe
PID 2128 wrote to memory of 1004	2128	spoolsv.exe	explorer.exe
PID 2128 wrote to memory of 1004	2128	spoolsv.exe	explorer.exe
PID 2128 wrote to memory of 1004	2128	spoolsv.exe	explorer.exe
PID 2128 wrote to memory of 1004	2128	spoolsv.exe	explorer.exe
PID 2776 wrote to memory of 1012	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1012	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1012	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1012	2776	explorer.exe	spoolsv.exe
PID 1012 wrote to memory of 1968	1012	spoolsv.exe	explorer.exe
PID 1012 wrote to memory of 1968	1012	spoolsv.exe	explorer.exe
PID 1012 wrote to memory of 1968	1012	spoolsv.exe	explorer.exe
PID 1012 wrote to memory of 1968	1012	spoolsv.exe	explorer.exe
PID 2776 wrote to memory of 1708	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1708	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1708	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 1708	2776	explorer.exe	spoolsv.exe
PID 1708 wrote to memory of 1672	1708	spoolsv.exe	explorer.exe
PID 1708 wrote to memory of 1672	1708	spoolsv.exe	explorer.exe
PID 1708 wrote to memory of 1672	1708	spoolsv.exe	explorer.exe
PID 1708 wrote to memory of 1672	1708	spoolsv.exe	explorer.exe
PID 2776 wrote to memory of 2220	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2220	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2220	2776	explorer.exe	spoolsv.exe
PID 2776 wrote to memory of 2220	2776	explorer.exe	spoolsv.exe

C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe"
1⤵
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2380
- \??\c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
  c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Users\Admin\AppData\Roaming\icsys.icn.exe
  C:\Users\Admin\AppData\Roaming\icsys.icn.exe
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Drops file in Windows directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:2344
- - \??\c:\windows\system\explorer.exe
    c:\windows\system\explorer.exe
    3⤵
    - Modifies WinLogon for persistence
    - Modifies visiblity of hidden/system files in Explorer
    - Boot or Logon Autostart Execution: Active Setup
    - Drops file in Drivers directory
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in Windows directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2792
  - - C:\Windows\Explorer.exe
      C:\Windows\Explorer.exe
      4⤵
      PID:2640
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1756
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:852
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2128
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1672
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2220
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2092
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2224
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2796
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1832
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2412
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:1800
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      System Location Discovery: System Language Discovery
      Suspicious use of SetWindowsHookEx
      PID:316
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1764
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:2000
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:1608
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of SetWindowsHookEx
      PID:1612
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:1668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2032
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      PID:2308
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1628
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2112
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2292
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2256
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2360
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2816
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2260
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2884
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2768
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2644
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2732
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2740
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2148
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3032
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:1152
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1644
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1600
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:1688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1972
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1712
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1828
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2140
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2976
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1404
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2044
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1884
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:468
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1800
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:716
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2236
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1608
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1300
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1636
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2704
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2032
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1592
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2308
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1620
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2268
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2836
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2744
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2952
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2160
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2656
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2880
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2692
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3020
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1816
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1280
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1048
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:664
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:780
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1948
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2968
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:408
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1000
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1092
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1356
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1384
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:588
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:912
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1168
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2252
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2156
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:904
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2700
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2316
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2336
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2748
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2260
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2160
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2752
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2916
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2652
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2312
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2120
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2024
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1804
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2128
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1036
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2212
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1684
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1992
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:496
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1832
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1356
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:860
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2928
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:468
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:568
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2488
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2320
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2988
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2080
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1796
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1944
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2944
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:904
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1628
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3000
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2336
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2360
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2948
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2208
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2672
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2684
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:332
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1340
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1152
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1500
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2436
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:792
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2440
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2108
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2664
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2920
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2224
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2976
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1576
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2464
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1572
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1752
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:568
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2096
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2216
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2472
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2228
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1612
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2408
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2076
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2116
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1620
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2292
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2200
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2748
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2260
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2884
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2768
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2788
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2916
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2640
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2732
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2672
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1756
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2148
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1340
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1740
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2128
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1712
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1496
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2440
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2664
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:408
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1872
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:840
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1736
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1840
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1572
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1800
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1752
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2096
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2236
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1392
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1300
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:856
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1668
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1628
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2904
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2512
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2204
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:892
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2952
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2400
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2752
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2784
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2788
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3028
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2740
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2312
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1284
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1756
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1808
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1500
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:604
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1672
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1948
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2140
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1524
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:628
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:600
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2812
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:716
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2988
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2540
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2248
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:844
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2944
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1944
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2704
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2496
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2308
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2764
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2452
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2292
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2748
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2860
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:528
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2032
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:484
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:112
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:536
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1820
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1816
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:676
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1500
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1740
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1644
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2436
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1940
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2212
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2108
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2140
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1684
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1524
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2796
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1736
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:840
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:924
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1572
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1560
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2216
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2152
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2520
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2408
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2256
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2472
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2244
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2904
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:892
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2204
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2952
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:880
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1592
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2028
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2332
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2852
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2508
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1340
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2092
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1068
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3020
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2600
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2140
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1356
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1524
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:628
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1952
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:924
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:568
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2252
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1936
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2396
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2132
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1748
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:264
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1580
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2268
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2764
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2904
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2748
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2948
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2656
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2016
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2432
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2120
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1280
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1756
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2128
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1500
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:944
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1068
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2092
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3020
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2212
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1544
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2140
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1524
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1356
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:408
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:628
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:924
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1952
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1572
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:568
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2988
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1836
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2156
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1748
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2304
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2316
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2816
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2940
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2452
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2160
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2748
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2948
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2656
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:332
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2312
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:768
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1152
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2752
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:792
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2108
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2140
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2224
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1492
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1376
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:444
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1188
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2928
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2956
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2988
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1836
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1432
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2256
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2300
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2316
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2940
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2836
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2512
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2724
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2744
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2948
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2656
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1600
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1804
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1756
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2188
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1036
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1496
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1948
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:536
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:496
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:832
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2488
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:716
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2216
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:856
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2248
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:264
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2200
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3000
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2820
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2908
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1944
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2400
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1816
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1824
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1280
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1740
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2128
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2436
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:944
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2092
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3020
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:536
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2600
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:108
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2044
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1736
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:964
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1492
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2104
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:444
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:924
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2912
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2928
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2096
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1984
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2320
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2236
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1936
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2396
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2248
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2496
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1748
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2304
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2512
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2804
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2724
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:892
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2808
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2312
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1600
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:676
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1284
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1036
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1456
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1136
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1948
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1992
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2980
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:408
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1700
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:600
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2096
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1612
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2964
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2520
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1836
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2700
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2304
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2260
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2532
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1000
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2764
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2908
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2780
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2948
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2896
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:556
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:484
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2560
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2332
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1824
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2508
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2708
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1340
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2188
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1048
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1672
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1576
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1524
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1840
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1384
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1952
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:600
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2000
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1636
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2944
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2284
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2256
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2244
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2276
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2748
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2884
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1428
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2032
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2672
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2148
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2016
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2852
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1460
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1280
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1712
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1496
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2404
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2600
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:840
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:496
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:964
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2224
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:860
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1188
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2812
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1572
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1984
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:912
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2236
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1880
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1504
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2076
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1580
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2116
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2636
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3000
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2080
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2836
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2880
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1956
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2896
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2732
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2656
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2312
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2448
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1804
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2708
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1136
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2212
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:108
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2604
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:448
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1792
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2012
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:792
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:860
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2464
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2324
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1092
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2152
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2000
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2320
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2248
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2072
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:856
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1352
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2112
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1632
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2360
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2472
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2200
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2348
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2452
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2832
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2828
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1588
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2744
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2872
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2808
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2208
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1760
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2040
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1600
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1460
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1284
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2752
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2128
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2136
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1828
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1992
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2140
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1544
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1524
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:860
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1752
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2324
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1732
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2152
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1300
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2248
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2132
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1504
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2112
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1580
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2260
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2940
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2724
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2848
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:112
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:528
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2732
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2668
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2684
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2188
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1068
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1048
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2092
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:108
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:496
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:448
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1776
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1792
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2008
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1976
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1652
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2488
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2988
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:912
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2964
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1520
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1936
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2944
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2700
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2308
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1628
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1620
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2960
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:892
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2948
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:556
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2784
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2732
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:332
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2024
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1500
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2188
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2108
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1496
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1672
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1324
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1724
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2420
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2364
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:924
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1316
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2616
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1608
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1572
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2168
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:628
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:960
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1984

\??\c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
"c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe " -service -lunch
1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2304
- \??\c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
  "c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe "
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Modifies data under HKEY_USERS
  - Suspicious use of FindShellTrayWindow
  - Suspicious use of SendNotifyMessage
  PID:2800

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\ProgramData\AMMYY\hr

Filesize
22B

MD5
dd22f00cdd8af727285b3f142545326d

SHA1
907699b0bfd715ffea3ba3a3afdcf8d89962aaf2

SHA256
6f8db2d191d189ff9d9a0cc1de71ddc4cc4274b5bab583f1763c41752988fc59

SHA512
ec29bb1b7d4cb32ead1b5faea98411abe197f98d64566a8a6b42a38f9e9df5ee01466abba34e033e1ba0d786eb6fcb571c0cb57f8ab9a9246e7a2ec4e4379409

Download Submit
C:\ProgramData\AMMYY\hr3

Filesize
75B

MD5
58d6b03c5b35c888cee598d7969a260f

SHA1
25bfa7850550273201589d22754398ff8826442e

SHA256
8eb32e7c57d4634c30c6dfc853dc386515f1c117de9bcd39aacd4828a88f990a

SHA512
af5c0077fe3018de9193a81e4ed78c09ccf00df93005f65feaa50ef3a41bb72c7ddfb8e3757797146353dc76acbff8d0339d4c1ccc154dcb59b03e1aafefe053

Download Submit
C:\ProgramData\AMMYY\settings3.bin

Filesize
269B

MD5
097a18ed7b31114c7ef39ef06eff02f0

SHA1
276bb5fc8ab72ed3a447dd57be668ace8f75a7c1

SHA256
985b458559939244b777d09d71d6192a13f693b88b046ca904012603a5582812

SHA512
168ef05ddb434dd4003748c7cd6ea9ed5c8280506de4473c3b193fffc314b469e85e2474f919f189c9b7ffb16aa741d75900341a9802dae175ad185e1fea3e96

Download Submit
C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Filesize
709KB

MD5
2104f66da494fb2cac8d654f02cd85d7

SHA1
98e44b9c65c15384da664d1b548e408b486e47bc

SHA256
5767921da620f5755d8ebb63c78fa3c2806003eede39253806813724e62f632a

SHA512
24cebfda8f1b90bc542f19d3c0ae8e7b51771c4e7e5b2fd2560dec1866b74f1172d85a6dbbf809a5f5bb9ecbac6a25db3477e8eec2fdb2d5f55fe4470b1555dc

Download Submit
C:\Users\Admin\AppData\Roaming\icsys.icn.exe

Filesize
184KB

MD5
d2b81706897dd2e376d9d59c72a4a242

SHA1
415303bf3b28440670ef70dc30df2cc5d4a6a340

SHA256
d973a43ee5e5e9eb2cd3dda218fab4501753003639429c1d8c114572b661a8ec

SHA512
6e86c80bb3a1a3e243e86e0b0691bb63915f039411a0e57a5f1177ea09ebff714b33d4b8d70fd313c2c05183169155db0eab3c98eaf71d6b45ce0edd8537e41b

Download Submit
\Windows\SysWOW64\drivers\spoolsv.exe

Filesize
184KB

MD5
1e6e92215ed29f56541da29bab1caf01

SHA1
8297c5dd86b0cf5c9fe24bc6b3011dff25ff42a3

SHA256
921b708db097ea255db7e51e5916a3a0214653e68fa7cb694df2061b02b77586

SHA512
3e67a204009a501f140375b02b2d9a604561b2c9c1c074496f24eb64a65b59901ff7853cca09f57516c30c35ebf132ae1d381f0fc7bbd6144e86da11e1d99e98

Download Submit
\Windows\system\explorer.exe

Filesize
184KB

MD5
85a54d785f5bea46f9af5708657fb027

SHA1
907a5129f26fa96ca4fcd941a3c6e44bc66058d6

SHA256
46fe7c7063852b37e7ec47ac76651500e4ac2bf9c91259d38d18e40dbd05cb6f

SHA512
819ffb902ec92181dfdbf2ed8480090c1c1cdecccfcfad75b6ee55368d0335b64ab4062eda652b2553b3ebd3e1b57b40108dc3573207bd7dd4929f7c891d9c7f

Download Submit
memory/2944-688-0x00000000771B0000-0x00000000772AA000-memory.dmp

Filesize
1000KB

Download
memory/2944-687-0x0000000077090000-0x00000000771AF000-memory.dmp

Filesize
1.1MB

Download
memory/2944-1145-0x0000000000510000-0x000000000053A000-memory.dmp

Filesize
168KB

Download
memory/2944-1144-0x00000000025E0000-0x00000000026F0000-memory.dmp

Filesize
1.1MB

Download
memory/2944-1142-0x0000000077090000-0x00000000771AF000-memory.dmp

Filesize
1.1MB

Download
memory/2944-2385-0x0000000077090000-0x00000000771AF000-memory.dmp

Filesize
1.1MB

Download
memory/2944-4497-0x00000000771B0000-0x00000000772AA000-memory.dmp

Filesize
1000KB

Download
memory/2944-4496-0x0000000077090000-0x00000000771AF000-memory.dmp

Filesize
1.1MB

Download
memory/2944-5660-0x00000000771B0000-0x00000000772AA000-memory.dmp

Filesize
1000KB

Download
memory/2944-5659-0x0000000077090000-0x00000000771AF000-memory.dmp

Filesize
1.1MB

Download
memory/2944-6162-0x0000000077090000-0x00000000771AF000-memory.dmp

Filesize
1.1MB

Download
memory/2944-6163-0x00000000771B0000-0x00000000772AA000-memory.dmp

Filesize
1000KB

Download