ammyyadmin | f4e3e14a56ab60fab5dd044a620af578cf7dd3579a82a7b72e574c87a792e0a5

Analysis

max time kernel
150s
max time network
133s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
09-10-2024 07:28

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
Size

894KB
MD5

2d37ea2c6cf72bd33a80e84f3cd55960
SHA1

f0572065fa9fa03904fd3f85f3e8b8a8dc8986ae
SHA256

f4e3e14a56ab60fab5dd044a620af578cf7dd3579a82a7b72e574c87a792e0a5
SHA512

6d6cdef13d5bd20d6f387bc130e13c498bb71da01146eb1645e4d0e0125a07f8d0518b9fef9760ac1653343c1c66778268209e055bd598dcb0a88c29d36fb7d9
SSDEEP

24576:8NZaOH+kbCr/c4+9hm7r1Rt4MmylZDV6A:8aOHnCbc39hgr53DR

Score

10^/10

ammyyadmin flawedammyy discovery evasion persistence rat trojan

Malware Config

Signatures

Ammyy Admin
Remote admin tool with various capabilities.
rat ammyyadmin

AmmyyAdmin payload 1 IoCs

Processes:

resource	yara_rule
behavioral2/files/0x0008000000023c5d-6.dat	family_ammyyadmin

FlawedAmmyy RAT
Remote-access trojan based on leaked code for the Ammyy remote admin software.
trojan flawedammyy

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\explorer.exe"	explorer.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-3756129449-3121373848-4276368241-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	explorer.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 6 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "c:\\windows\\system32\\drivers\\mr.exe"	explorer.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\StubPath = "c:\\windows\\system32\\drivers\\mr.exe"	explorer.exe
Key deleted	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	explorer.exe
Key deleted	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}	explorer.exe

Drops file in Drivers directory 3 IoCs

Processes:

explorer.exe

description	ioc	Process
File opened for modification	\??\c:\windows\SysWOW64\drivers\spoolsv.exe	explorer.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\mr.exe	explorer.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\udsys.exe	explorer.exe

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-3756129449-3121373848-4276368241-1000\Control Panel\International\Geo\Nation	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Executes dropped EXE 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe 2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe 2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe icsys.icn.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exe

pid	Process
2364	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
1808	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
4092	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
3640	icsys.icn.exe
1372	explorer.exe
4284	spoolsv.exe
2860	explorer.exe
2132	spoolsv.exe
5100	explorer.exe
2288	spoolsv.exe
1632	explorer.exe
1832	spoolsv.exe
4688	explorer.exe
3412	spoolsv.exe
4656	explorer.exe
2336	spoolsv.exe
1736	explorer.exe
536	spoolsv.exe
3676	explorer.exe
2248	spoolsv.exe
4384	explorer.exe
3272	spoolsv.exe
3636	explorer.exe
3736	spoolsv.exe
3368	explorer.exe
1224	spoolsv.exe
364	explorer.exe
3596	spoolsv.exe
4368	explorer.exe
4888	spoolsv.exe
4376	explorer.exe
4788	spoolsv.exe
2244	explorer.exe
4820	spoolsv.exe
2348	explorer.exe
2376	spoolsv.exe
4968	explorer.exe
3980	spoolsv.exe
4444	explorer.exe
4908	spoolsv.exe
3912	explorer.exe
4100	spoolsv.exe
228	explorer.exe
1996	spoolsv.exe
3584	explorer.exe
892	spoolsv.exe
3856	explorer.exe
3484	spoolsv.exe
4396	explorer.exe
1484	spoolsv.exe
3720	explorer.exe
4548	spoolsv.exe
3704	explorer.exe
2372	spoolsv.exe
3676	explorer.exe
3024	spoolsv.exe
5048	explorer.exe
1688	spoolsv.exe
4556	explorer.exe
2400	spoolsv.exe
4340	explorer.exe
2864	spoolsv.exe
2900	explorer.exe
848	spoolsv.exe

Adds Run key to start application 2 TTPs 3 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

explorer.exe

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe RO"	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Svchost = "c:\\windows\\system32\\drivers\\svchost.exe RO"	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe"	explorer.exe

Drops file in Windows directory 2 IoCs

Processes:

icsys.icn.exeexplorer.exe

description	ioc	Process
File opened for modification	\??\c:\windows\system\explorer.exe	icsys.icn.exe
File opened for modification	\??\c:\windows\system\explorer.exe	explorer.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

Processes:

spoolsv.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exeexplorer.exeexplorer.exeexplorer.exespoolsv.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exespoolsv.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exeexplorer.exeexplorer.exe

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe

Modifies data under HKEY_USERS 6 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

description	ioc	Process
Set value (data)	\REGISTRY\USER\.DEFAULT\Software\Ammyy\Admin\hr = 537d567366087c6658524c1752531a450daa3445b36b	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Set value (data)	\REGISTRY\USER\.DEFAULT\Software\Ammyy\Admin\hr3 = d36b4ffd8520fdf42ab057389971ee6fe7b1a336b5cb44559e73659adbcb2bef3340f47abdae33cf7fc5480bfa46cefb242d91b4eeb740d5d20ac22c4acec6873dd2fef8e436667ab11e77	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\SOFTWARE\Ammyy\Admin	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\SOFTWARE	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Ammyy	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Ammyy\Admin	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

icsys.icn.exeexplorer.exe

pid	Process
3640	icsys.icn.exe
3640	icsys.icn.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe
1372	explorer.exe

Suspicious use of FindShellTrayWindow 1 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

pid	Process
4092	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Suspicious use of SendNotifyMessage 1 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

pid	Process
4092	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exeicsys.icn.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exespoolsv.exeexplorer.exe

pid	Process
720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
3640	icsys.icn.exe
3640	icsys.icn.exe
1372	explorer.exe
1372	explorer.exe
4284	spoolsv.exe
4284	spoolsv.exe
2860	explorer.exe
2860	explorer.exe
1372	explorer.exe
1372	explorer.exe
2132	spoolsv.exe
2132	spoolsv.exe
5100	explorer.exe
5100	explorer.exe
2288	spoolsv.exe
2288	spoolsv.exe
1632	explorer.exe
1632	explorer.exe
1832	spoolsv.exe
1832	spoolsv.exe
4688	explorer.exe
4688	explorer.exe
3412	spoolsv.exe
3412	spoolsv.exe
4656	explorer.exe
4656	explorer.exe
2336	spoolsv.exe
2336	spoolsv.exe
1736	explorer.exe
1736	explorer.exe
536	spoolsv.exe
536	spoolsv.exe
3676	explorer.exe
3676	explorer.exe
2248	spoolsv.exe
2248	spoolsv.exe
4384	explorer.exe
4384	explorer.exe
3272	spoolsv.exe
3272	spoolsv.exe
3636	explorer.exe
3636	explorer.exe
3736	spoolsv.exe
3736	spoolsv.exe
3368	explorer.exe
3368	explorer.exe
1224	spoolsv.exe
1224	spoolsv.exe
364	explorer.exe
364	explorer.exe
3596	spoolsv.exe
3596	spoolsv.exe
4368	explorer.exe
4368	explorer.exe
4888	spoolsv.exe
4888	spoolsv.exe
4376	explorer.exe
4376	explorer.exe
4788	spoolsv.exe
4788	spoolsv.exe
2244	explorer.exe
2244	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe icsys.icn.exeexplorer.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exespoolsv.exe

description	pid	Process	procid_target
PID 720 wrote to memory of 2364	720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	85
PID 720 wrote to memory of 2364	720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	85
PID 720 wrote to memory of 2364	720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	85
PID 1808 wrote to memory of 4092	1808	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	87
PID 1808 wrote to memory of 4092	1808	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	87
PID 1808 wrote to memory of 4092	1808	2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe	87
PID 720 wrote to memory of 3640	720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	89
PID 720 wrote to memory of 3640	720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	89
PID 720 wrote to memory of 3640	720	2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe	89
PID 3640 wrote to memory of 1372	3640	icsys.icn.exe	90
PID 3640 wrote to memory of 1372	3640	icsys.icn.exe	90
PID 3640 wrote to memory of 1372	3640	icsys.icn.exe	90
PID 1372 wrote to memory of 4284	1372	explorer.exe	91
PID 1372 wrote to memory of 4284	1372	explorer.exe	91
PID 1372 wrote to memory of 4284	1372	explorer.exe	91
PID 4284 wrote to memory of 2860	4284	spoolsv.exe	92
PID 4284 wrote to memory of 2860	4284	spoolsv.exe	92
PID 4284 wrote to memory of 2860	4284	spoolsv.exe	92
PID 1372 wrote to memory of 2132	1372	explorer.exe	93
PID 1372 wrote to memory of 2132	1372	explorer.exe	93
PID 1372 wrote to memory of 2132	1372	explorer.exe	93
PID 2132 wrote to memory of 5100	2132	spoolsv.exe	94
PID 2132 wrote to memory of 5100	2132	spoolsv.exe	94
PID 2132 wrote to memory of 5100	2132	spoolsv.exe	94
PID 1372 wrote to memory of 2288	1372	explorer.exe	95
PID 1372 wrote to memory of 2288	1372	explorer.exe	95
PID 1372 wrote to memory of 2288	1372	explorer.exe	95
PID 2288 wrote to memory of 1632	2288	spoolsv.exe	96
PID 2288 wrote to memory of 1632	2288	spoolsv.exe	96
PID 2288 wrote to memory of 1632	2288	spoolsv.exe	96
PID 1372 wrote to memory of 1832	1372	explorer.exe	97
PID 1372 wrote to memory of 1832	1372	explorer.exe	97
PID 1372 wrote to memory of 1832	1372	explorer.exe	97
PID 1832 wrote to memory of 4688	1832	spoolsv.exe	98
PID 1832 wrote to memory of 4688	1832	spoolsv.exe	98
PID 1832 wrote to memory of 4688	1832	spoolsv.exe	98
PID 1372 wrote to memory of 3412	1372	explorer.exe	99
PID 1372 wrote to memory of 3412	1372	explorer.exe	99
PID 1372 wrote to memory of 3412	1372	explorer.exe	99
PID 3412 wrote to memory of 4656	3412	spoolsv.exe	100
PID 3412 wrote to memory of 4656	3412	spoolsv.exe	100
PID 3412 wrote to memory of 4656	3412	spoolsv.exe	100
PID 1372 wrote to memory of 2336	1372	explorer.exe	101
PID 1372 wrote to memory of 2336	1372	explorer.exe	101
PID 1372 wrote to memory of 2336	1372	explorer.exe	101
PID 2336 wrote to memory of 1736	2336	spoolsv.exe	102
PID 2336 wrote to memory of 1736	2336	spoolsv.exe	102
PID 2336 wrote to memory of 1736	2336	spoolsv.exe	102
PID 1372 wrote to memory of 536	1372	explorer.exe	103
PID 1372 wrote to memory of 536	1372	explorer.exe	103
PID 1372 wrote to memory of 536	1372	explorer.exe	103
PID 536 wrote to memory of 3676	536	spoolsv.exe	104
PID 536 wrote to memory of 3676	536	spoolsv.exe	104
PID 536 wrote to memory of 3676	536	spoolsv.exe	104
PID 1372 wrote to memory of 2248	1372	explorer.exe	105
PID 1372 wrote to memory of 2248	1372	explorer.exe	105
PID 1372 wrote to memory of 2248	1372	explorer.exe	105
PID 2248 wrote to memory of 4384	2248	spoolsv.exe	106
PID 2248 wrote to memory of 4384	2248	spoolsv.exe	106
PID 2248 wrote to memory of 4384	2248	spoolsv.exe	106
PID 1372 wrote to memory of 3272	1372	explorer.exe	107
PID 1372 wrote to memory of 3272	1372	explorer.exe	107
PID 1372 wrote to memory of 3272	1372	explorer.exe	107
PID 3272 wrote to memory of 3636	3272	spoolsv.exe	108

C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_JaffaCakes118.exe"
1⤵
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:720
- \??\c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
  c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
  2⤵
  - Executes dropped EXE
  PID:2364
- C:\Users\Admin\AppData\Roaming\icsys.icn.exe
  C:\Users\Admin\AppData\Roaming\icsys.icn.exe
  2⤵
  - Executes dropped EXE
  - Drops file in Windows directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:3640
- - \??\c:\windows\system\explorer.exe
    c:\windows\system\explorer.exe
    3⤵
    - Modifies WinLogon for persistence
    - Modifies visiblity of hidden/system files in Explorer
    - Boot or Logon Autostart Execution: Active Setup
    - Drops file in Drivers directory
    - Executes dropped EXE
    - Adds Run key to start application
    - Drops file in Windows directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:1372
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4284
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2860
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:5100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1632
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:3412
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4656
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2336
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1736
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2248
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4384
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:3272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3368
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1224
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:364
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3596
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4368
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4376
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4788
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2244
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:4820
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:3980
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:4444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:4908
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:4100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:228
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3584
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:892
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3856
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:3484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:4396
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3720
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:4548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2372
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:3676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:3024
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:5048
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:1688
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:4556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2400
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:4340
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:2864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        Executes dropped EXE
        
        PID:2900
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      Executes dropped EXE
      PID:848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1640
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2968
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:448
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1344
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2308
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4016
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5028
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4868
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4464
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4044
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4480
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4008
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3180
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2380
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2504
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:544
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1632
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1728
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3612
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4764
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2292
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2336
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5072
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1540
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1148
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3332
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5048
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1936
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4024
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4380
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4372
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1264
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1088
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2036
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:756
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3568
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:540
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3076
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:512
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2008
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2972
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1684
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4988
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2156
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3520
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3612
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3480
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4764
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2336
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2220
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3332
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:508
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1736
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:744
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4896
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4368
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3488
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2360
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4188
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1344
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2036
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2348
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3568
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1556
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1112
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3076
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2664
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:224
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4008
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:928
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5104
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2908
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:384
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2156
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5068
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1728
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4396
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2868
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5072
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1708
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3952
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1956
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3472
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2368
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4556
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1564
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4528
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4576
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4392
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2000
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:728
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2576
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4172
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3788
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1592
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:936
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4932
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1352
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3696
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1664
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:372
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4500
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4408
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4472
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2292
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2568
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4068
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3872
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3196
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4712
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2200
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2236
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:824
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2360
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2620
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3632
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1264
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1436
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3096
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2616
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3980
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4868
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3568
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1868
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4772
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3076
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4652
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:928
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2908
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2156
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3984
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:892
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4620
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4504
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3168
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3512
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3704
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:536
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:780
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3312
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5052
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2992
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4984
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2200
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1224
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:508
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1564
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:3768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1640
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1476
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3308
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4192
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3564
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1132
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4176
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4800
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:812
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2008
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3180
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:8
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3064
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4872
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2272
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3584
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1552
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2436
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4948
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4780
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3728
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3528
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2016
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2200
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2340
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:508
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1564
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3636
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2432
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4968
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3132
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2008
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1180
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4908
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3756
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2504
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3852
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2176
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4396
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3848
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1464
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2336
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3972
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4360
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3304
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:4116
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4384
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4340
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2340
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4428
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5088
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1144
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2432
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1344
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3568
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2756
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1584
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4044
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1400
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2972
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3180
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2132
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4872
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3936
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2216
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2176
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3172
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4824
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3412
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4408
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2448
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4472
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3676
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2708
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3344
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3332
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1752
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2764
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:364
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:912
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4484
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1264
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1436
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4192
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1592
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2040
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4876
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2664
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2348
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2108
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1180
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4908
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2504
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1904
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1016
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1728
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4372
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1612
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4008
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:784
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2608
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:536
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:3692
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4712
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4504
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3356
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2016
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5048
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:508
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3596
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1476
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1852
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3308
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4484
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1436
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:540
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3568
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3992
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1336
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5064
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:8
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1996
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1664
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1424
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:4644
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4176
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1724
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3724
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4696
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2700
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:748
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3372
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4564
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2928
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2456
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4116
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3356
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2792
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5048
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4700
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3272
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1564
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3768
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4984
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1640
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4240
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1808
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3076
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3564
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4444
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:936
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1796
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4876
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:8
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:648
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:4908
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3180
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2988
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4924
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1728
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3720
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3280
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3704
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3972
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:960
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2248
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3344
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4116
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1752
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3356
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3256
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:824
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:508
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4700
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4452
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3468
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2308
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1224
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4776
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4772
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:812
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1336
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1772
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5064
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2908
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4220
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:384
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3936
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4792
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4828
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1932
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:820
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5016
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4652
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4912
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1612
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2608
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4472
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4424
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1860
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1876
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3692
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3368
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2248
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3332
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4552
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4340
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3196
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2400
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4376
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2636
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:624
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4788
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1264
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4676
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4600
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1584
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4192
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2500
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2664
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1400
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4220
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1180
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:372
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4792
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1724
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1832
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4980
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2868
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1672
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:780
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3024
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:960
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2864
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3304
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1900
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4856
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3872
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2244
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2236
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3768
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1476
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2968
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3840
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4788
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4240
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:744
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2040
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4600
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1352
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4192
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2108
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4044
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1400
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1276
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3696
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2272
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1424
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4588
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4828
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3172
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:820
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4100
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4688
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1608
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2868
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3280
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4472
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1688
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2708
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:960
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4008
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1012
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1752
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4432
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4364
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2888
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3760
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:4680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1152
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2844
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4896
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4768
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4452
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1852
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3796
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1556
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3652
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4464
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:636
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:228
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3044
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3540
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4876
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:2108
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2348
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4044
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1400
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1592
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3696
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2216
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4588
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5004
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1392
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1724
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2176
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4372
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:620
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3412
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1672
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2696
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4472
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4456
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:1916
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1860
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:536
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:960
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4504
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3676
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1900
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1708
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4188
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3472
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3760
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4072
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4160
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1896
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4004
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3124
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2604
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:364
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4976
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1344
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2740
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3564
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4240
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2164
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:812
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2500
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4036
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:448
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2348
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4064
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4220
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4800
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4792
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3936
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4828
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:880
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3508
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3724
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3052
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2288
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:220
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2928
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3736
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4008
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4024
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1752
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3304
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3592
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2220
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2340
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3196
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4476
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2236
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2200
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2380
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3488
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4388
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3308
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5088
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3124
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1852
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1684
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1344
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1000
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:408
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4492
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4444
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1584
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2756
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1336
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:8
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2972
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4508
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:544
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2548
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:384
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3064
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1592
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2112
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4500
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3572
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4824
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2232
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:232
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3720
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4396
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2372
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4624
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3032
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4456
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1688
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1412
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4648
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3692
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2864
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4504
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4368
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4564
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4432
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1708
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2340
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2400
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3844
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4160
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2844
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4520
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1896
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4452
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4484
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1264
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3288
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1224
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1040
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4464
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1460
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2040
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4996
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2916
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2500
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1316
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4788
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4508
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1180
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3484
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4220
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5068
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4792
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:4480
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4588
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4828
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4688
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2292
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5072
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3508
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2568
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4980
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3056
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2868
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1956
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      System Location Discovery: System Language Discovery
      PID:4424
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3528
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1936
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2336
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2248
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:784
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3608
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4680
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3516
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4896
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4700
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1704
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2380
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4388
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4888
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2604
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:5088
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3840
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1124
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:460
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2104
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2188
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1000
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3132
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3560
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3456
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1132
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:5060
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1488
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3100
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2212
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2548
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:116
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4800
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1884
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3936
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4820
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:528
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1060
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1176
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1724
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1664
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:1996
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3724
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:620
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3680
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4040
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:2544
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3940
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1956
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4404
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:1028
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3712
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:3156
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3356
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:2248
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4384
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4168
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:728
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:848
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:908
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4940
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4028
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:4428
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4160
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3488
  - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
      c:\windows\system32\drivers\spoolsv.exe
      4⤵
      PID:4780
    - - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        5⤵
        
        PID:3260

\??\c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
"c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe " -service -lunch
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1808
- \??\c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe
  "c:\users\admin\appdata\local\temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe "
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Modifies data under HKEY_USERS
  - Suspicious use of FindShellTrayWindow
  - Suspicious use of SendNotifyMessage
  PID:4092

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\ProgramData\AMMYY\hr

Filesize
22B

MD5
3324742e5e4a39e80d4bdb684a9ef0f0

SHA1
1824cf41d826827de326030f4620c91fd771c26b

SHA256
4a7398a8272c6549bceb6247ef60714d5ea60b84dfbac070c2786210020366ea

SHA512
cd110bc3481f1b84b3cdcb1ef4175cf8d2f647a8347e9ea4625dbe57141863192a2378f99cef5d71d750d05ebbdd635e07a884add63db73f0153c5a832bd2f27

Download Submit
C:\ProgramData\AMMYY\hr3

Filesize
75B

MD5
d22d0bd97ea5627e1d193cea6c654104

SHA1
75c0dd824cad1013a78b9049ca82e1163b95ea6a

SHA256
881536774f9267cb406469a8a299d7c71ad9226d82bd5a34f971ba9ef44aa506

SHA512
cba81c4b7ffe303c73007cbd3d615f99dd401e52e88094a39f70391cfcb3b0b389aaac84695a6c5785e936be95a42aaa47cb7a6bf517066ac97e6e1c9b572aa1

Download Submit
C:\ProgramData\AMMYY\settings3.bin

Filesize
269B

MD5
097a18ed7b31114c7ef39ef06eff02f0

SHA1
276bb5fc8ab72ed3a447dd57be668ace8f75a7c1

SHA256
985b458559939244b777d09d71d6192a13f693b88b046ca904012603a5582812

SHA512
168ef05ddb434dd4003748c7cd6ea9ed5c8280506de4473c3b193fffc314b469e85e2474f919f189c9b7ffb16aa741d75900341a9802dae175ad185e1fea3e96

Download Submit
C:\Users\Admin\AppData\Local\Temp\2d37ea2c6cf72bd33a80e84f3cd55960_jaffacakes118.exe

Filesize
709KB

MD5
2104f66da494fb2cac8d654f02cd85d7

SHA1
98e44b9c65c15384da664d1b548e408b486e47bc

SHA256
5767921da620f5755d8ebb63c78fa3c2806003eede39253806813724e62f632a

SHA512
24cebfda8f1b90bc542f19d3c0ae8e7b51771c4e7e5b2fd2560dec1866b74f1172d85a6dbbf809a5f5bb9ecbac6a25db3477e8eec2fdb2d5f55fe4470b1555dc

Download Submit
C:\Users\Admin\AppData\Roaming\icsys.icn.exe

Filesize
184KB

MD5
d2b81706897dd2e376d9d59c72a4a242

SHA1
415303bf3b28440670ef70dc30df2cc5d4a6a340

SHA256
d973a43ee5e5e9eb2cd3dda218fab4501753003639429c1d8c114572b661a8ec

SHA512
6e86c80bb3a1a3e243e86e0b0691bb63915f039411a0e57a5f1177ea09ebff714b33d4b8d70fd313c2c05183169155db0eab3c98eaf71d6b45ce0edd8537e41b

Download Submit
C:\Windows\SysWOW64\drivers\spoolsv.exe

Filesize
184KB

MD5
842b1107dba82d1a981d29c1a2917e2a

SHA1
b98abd73c44b59e6faadb5794c059c63b848249a

SHA256
fb8e5a354bd466a18ce4d53993b5aa3573c1c7f4d826a0ac9421112e3b5077a0

SHA512
75cbcf7e8484eadb668c00c10cd0a548806db09f76d9a5e9dbd82bd4bc508b1fb22bb68a1e0868bdc7fbe6cade93f50315287ecd9897512e183ac996f2cd2de8

Download Submit
C:\Windows\System\explorer.exe

Filesize
184KB

MD5
652d9af7c6fc4c7fd3580fa4d671cf26

SHA1
922ff345e8b5acd72e8f9f70e081bc94ae562f12

SHA256
548bc66940e51203e0b2d284417f7c6d5320e7e414e58ee0f6cefee8085dde9c

SHA512
7cea5606fabac5274ed6e73b8f31bae6ec3885e1682cf2229fbf30296d976a6d612c30b4450fb05d348135bcc4c41baa4ca571cd59671d0a624ce400f1bac735

Download Submit