Analysis Overview
SHA256
d9af634353937ca452cd1c9347a59bfb3911ff6a3136cd86c365d40c748641e4
Threat Level: Known bad
The file 8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118 was found to be: Known bad.
Malicious Activity Summary
MetaSploit
Metasploit family
Identifies Wine through registry keys
Executes dropped EXE
Loads dropped DLL
Drops file in System32 directory
System Location Discovery: System Language Discovery
Unsigned PE
Suspicious use of WriteProcessMemory
MITRE ATT&CK
Enterprise Matrix V15
Analysis: static1
Detonation Overview
Reported
2024-11-04 01:44
Signatures
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-11-04 01:44
Reported
2024-11-04 03:09
Platform
win7-20240903-en
Max time kernel
150s
Max time network
123s
Command Line
Signatures
MetaSploit
Metasploit family
Executes dropped EXE
Identifies Wine through registry keys
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\naoib.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\xpbbo.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\kpbfw.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\glemp.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\qlaww.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\xhkkg.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\mqjii.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\vrmob.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\jjxlm.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\eeipg.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\magqh.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\zylhx.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\wobkb.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\swjvw.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\wstyt.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\fforl.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\dsair.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\uzxyn.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\tzczw.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\dfnjo.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\sybud.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\wzpko.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\fjhxp.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\iibya.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\idshx.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\nhhfd.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\kgeex.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\xtges.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\ppeho.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\aifbo.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\mmrst.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\gmalf.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\wscid.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\kygxd.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\gbdgm.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\orqev.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\qzwnt.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\qzcrh.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\sryrf.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\djicu.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\krddb.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\cvayr.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\udkul.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\vhohy.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\muahr.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\dqwll.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\obqhy.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\unbzw.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\zhmkq.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\grivn.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\ectvm.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\rfryr.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\zatjb.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\guzvq.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\chikq.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\kkquq.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\qavur.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\qxjcd.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\dhhno.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\dewzl.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\ijewi.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\iarbs.exe | N/A |
| Key opened | \REGISTRY\USER\S-1-5-21-2872745919-2748461613-2989606286-1000\Software\Wine | C:\Windows\SysWOW64\iggtt.exe | N/A |
Loads dropped DLL
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\SysWOW64\qzyvp.exe | C:\Windows\SysWOW64\gamxe.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\chylf.exe | C:\Windows\SysWOW64\riufv.exe | N/A |
| File created | C:\Windows\SysWOW64\qavur.exe | C:\Windows\SysWOW64\cnmel.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\lhjlw.exe | C:\Windows\SysWOW64\guzvq.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\ewcxo.exe | C:\Windows\SysWOW64\rjshi.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\pzhsr.exe | C:\Windows\SysWOW64\foshd.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\ncvcu.exe | C:\Windows\SysWOW64\ddjfk.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\zhuyr.exe | C:\Windows\SysWOW64\pxfnw.exe | N/A |
| File created | C:\Windows\SysWOW64\nsvnu.exe | C:\Windows\SysWOW64\abalm.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\zaytp.exe | C:\Windows\SysWOW64\pmgwz.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\nqtpx.exe | C:\Windows\SysWOW64\dndfk.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\uzdkq.exe | C:\Windows\SysWOW64\hbbhi.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\emtzb.exe | C:\Windows\SysWOW64\qzcjv.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\txkvu.exe | C:\Windows\SysWOW64\jnnkh.exe | N/A |
| File created | C:\Windows\SysWOW64\pcxjd.exe | C:\Windows\SysWOW64\cmugv.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\lrglv.exe | C:\Windows\SysWOW64\ywwwp.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\fkdrt.exe | C:\Windows\SysWOW64\vhohy.exe | N/A |
| File created | C:\Windows\SysWOW64\znygn.exe | C:\Windows\SysWOW64\magqh.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\bzavf.exe | C:\Windows\SysWOW64\rpkkr.exe | N/A |
| File created | C:\Windows\SysWOW64\lsarr.exe | C:\Windows\SysWOW64\bhkge.exe | N/A |
| File created | C:\Windows\SysWOW64\buejt.exe | C:\Windows\SysWOW64\oejgl.exe | N/A |
| File created | C:\Windows\SysWOW64\jjknz.exe | C:\Windows\SysWOW64\ahudm.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\qleka.exe | C:\Windows\SysWOW64\dujhj.exe | N/A |
| File created | C:\Windows\SysWOW64\fqpfp.exe | C:\Windows\SysWOW64\sdxpk.exe | N/A |
| File created | C:\Windows\SysWOW64\unbzw.exe | C:\Windows\SysWOW64\hpgwo.exe | N/A |
| File created | C:\Windows\SysWOW64\ebywe.exe | C:\Windows\SysWOW64\cvyzg.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\ngaef.exe | C:\Windows\SysWOW64\aifbo.exe | N/A |
| File created | C:\Windows\SysWOW64\mvhjw.exe | C:\Windows\SysWOW64\kmpte.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\zkmnp.exe | C:\Windows\SysWOW64\mlstg.exe | N/A |
| File created | C:\Windows\SysWOW64\wyuwc.exe | C:\Windows\SysWOW64\jirut.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\hiypy.exe | C:\Windows\SysWOW64\usvnp.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\djicu.exe | C:\Windows\SysWOW64\uvife.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\jbksq.exe | C:\Windows\SysWOW64\zquid.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\jcyur.exe | C:\Windows\SysWOW64\xasff.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\ojreb.exe | C:\Windows\SysWOW64\bswbl.exe | N/A |
| File created | C:\Windows\SysWOW64\rqslk.exe | C:\Windows\SysWOW64\hndbx.exe | N/A |
| File created | C:\Windows\SysWOW64\xpbbo.exe | C:\Windows\SysWOW64\obiey.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\jjxlm.exe | C:\Windows\SysWOW64\wscid.exe | N/A |
| File created | C:\Windows\SysWOW64\daafh.exe | C:\Windows\SysWOW64\txkvu.exe | N/A |
| File created | C:\Windows\SysWOW64\sybud.exe | C:\Windows\SysWOW64\fagrm.exe | N/A |
| File created | C:\Windows\SysWOW64\jgtir.exe | C:\Windows\SysWOW64\wiyfi.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\xzlvv.exe | C:\Windows\SysWOW64\sjism.exe | N/A |
| File created | C:\Windows\SysWOW64\fvtgm.exe | C:\Windows\SysWOW64\teqdd.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\lzgwo.exe | C:\Windows\SysWOW64\yaeug.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\wdjei.exe | C:\Windows\SysWOW64\jngcs.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\jfwns.exe | C:\Windows\SysWOW64\wobkb.exe | N/A |
| File created | C:\Windows\SysWOW64\zisxu.exe | C:\Windows\SysWOW64\pydmz.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\xucgh.exe | C:\Windows\SysWOW64\nvxjw.exe | N/A |
| File created | C:\Windows\SysWOW64\tjahe.exe | C:\Windows\SysWOW64\jgkxi.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\icyvm.exe | C:\Windows\SysWOW64\ijplk.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\aatjv.exe | C:\Windows\SysWOW64\qxdzh.exe | N/A |
| File created | C:\Windows\SysWOW64\gqiul.exe | C:\Windows\SysWOW64\tdqef.exe | N/A |
| File created | C:\Windows\SysWOW64\nrard.exe | C:\Windows\SysWOW64\bxukk.exe | N/A |
| File created | C:\Windows\SysWOW64\cjlgs.exe | C:\Windows\SysWOW64\svljc.exe | N/A |
| File created | C:\Windows\SysWOW64\iarbs.exe | C:\Windows\SysWOW64\vbwzk.exe | N/A |
| File created | C:\Windows\SysWOW64\edmbz.exe | C:\Windows\SysWOW64\rfryr.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\cpqke.exe | C:\Windows\SysWOW64\pqnhw.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\xgwqe.exe | C:\Windows\SysWOW64\jtnby.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\dflzn.exe | C:\Windows\SysWOW64\qorwe.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\pldaz.exe | C:\Windows\SysWOW64\cvayr.exe | N/A |
| File created | C:\Windows\SysWOW64\cttmq.exe | C:\Windows\SysWOW64\pgcxk.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\heiil.exe | C:\Windows\SysWOW64\rrzni.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\jjknz.exe | C:\Windows\SysWOW64\ahudm.exe | N/A |
| File created | C:\Windows\SysWOW64\zotdp.exe | C:\Windows\SysWOW64\mqyag.exe | N/A |
System Location Discovery: System Language Discovery
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\lrglv.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\vhohy.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\rqslk.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\gvxnh.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\fylwj.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\jnnkh.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\sjlod.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\usvnp.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\jgkxi.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\ssbnt.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\tyllo.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\eeipg.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\dsjix.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\jgtir.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\hvsjk.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\bjewh.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\lsduc.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\wjkld.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\xzlvv.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\lnbxo.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\jaxnx.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\twdtc.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\yiqqj.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\shysk.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\gbdgm.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\npjko.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\zhuyr.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\sziva.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\qxjcd.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\meorn.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\orqev.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\ndxqd.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\hljcj.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\couxm.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\zhmkq.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\zyaav.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\lkjrx.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\qleka.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\unbzw.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\ywwwp.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\ewcxo.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\qzcrh.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\ykmco.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\pxfnw.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\zcyko.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\wbclp.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\hbnwo.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\paumb.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\pzhkm.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\klchp.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\kxvqc.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\heiil.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mszse.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\tdqef.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\chikq.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\pjtdk.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\dflzn.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\dndfk.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\rtjlg.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\naoib.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\qottk.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\awphj.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\whpua.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\qcugu.exe | N/A |
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe"
C:\Windows\SysWOW64\mszse.exe
C:\Windows\system32\mszse.exe 636 "C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe"
C:\Windows\SysWOW64\qeqkx.exe
C:\Windows\system32\qeqkx.exe 612 "C:\Windows\SysWOW64\mszse.exe"
C:\Windows\SysWOW64\frnph.exe
C:\Windows\system32\frnph.exe 616 "C:\Windows\SysWOW64\qeqkx.exe"
C:\Windows\SysWOW64\udkul.exe
C:\Windows\system32\udkul.exe 624 "C:\Windows\SysWOW64\frnph.exe"
C:\Windows\SysWOW64\dyjxa.exe
C:\Windows\system32\dyjxa.exe 628 "C:\Windows\SysWOW64\udkul.exe"
C:\Windows\SysWOW64\yezsd.exe
C:\Windows\system32\yezsd.exe 620 "C:\Windows\SysWOW64\dyjxa.exe"
C:\Windows\SysWOW64\syeiv.exe
C:\Windows\system32\syeiv.exe 640 "C:\Windows\SysWOW64\yezsd.exe"
C:\Windows\SysWOW64\uuhlq.exe
C:\Windows\system32\uuhlq.exe 632 "C:\Windows\SysWOW64\syeiv.exe"
C:\Windows\SysWOW64\wwhtk.exe
C:\Windows\system32\wwhtk.exe 644 "C:\Windows\SysWOW64\uuhlq.exe"
C:\Windows\SysWOW64\gzwdx.exe
C:\Windows\system32\gzwdx.exe 652 "C:\Windows\SysWOW64\wwhtk.exe"
C:\Windows\SysWOW64\gzxns.exe
C:\Windows\system32\gzxns.exe 668 "C:\Windows\SysWOW64\gzwdx.exe"
C:\Windows\SysWOW64\ijplk.exe
C:\Windows\system32\ijplk.exe 680 "C:\Windows\SysWOW64\gzxns.exe"
C:\Windows\SysWOW64\icyvm.exe
C:\Windows\system32\icyvm.exe 660 "C:\Windows\SysWOW64\ijplk.exe"
C:\Windows\SysWOW64\kmpte.exe
C:\Windows\system32\kmpte.exe 708 "C:\Windows\SysWOW64\icyvm.exe"
C:\Windows\SysWOW64\mvhjw.exe
C:\Windows\system32\mvhjw.exe 664 "C:\Windows\SysWOW64\kmpte.exe"
C:\Windows\SysWOW64\moqbq.exe
C:\Windows\system32\moqbq.exe 608 "C:\Windows\SysWOW64\mvhjw.exe"
C:\Windows\SysWOW64\twdtc.exe
C:\Windows\system32\twdtc.exe 756 "C:\Windows\SysWOW64\moqbq.exe"
C:\Windows\SysWOW64\gugwl.exe
C:\Windows\system32\gugwl.exe 760 "C:\Windows\SysWOW64\twdtc.exe"
C:\Windows\SysWOW64\qiztj.exe
C:\Windows\system32\qiztj.exe 752 "C:\Windows\SysWOW64\gugwl.exe"
C:\Windows\SysWOW64\dzbws.exe
C:\Windows\system32\dzbws.exe 772 "C:\Windows\SysWOW64\qiztj.exe"
C:\Windows\SysWOW64\qmllx.exe
C:\Windows\system32\qmllx.exe 768 "C:\Windows\SysWOW64\dzbws.exe"
C:\Windows\SysWOW64\xtges.exe
C:\Windows\system32\xtges.exe 764 "C:\Windows\SysWOW64\qmllx.exe"
C:\Windows\SysWOW64\hewof.exe
C:\Windows\system32\hewof.exe 780 "C:\Windows\SysWOW64\xtges.exe"
C:\Windows\SysWOW64\rdilp.exe
C:\Windows\system32\rdilp.exe 784 "C:\Windows\SysWOW64\hewof.exe"
C:\Windows\SysWOW64\fqrbv.exe
C:\Windows\system32\fqrbv.exe 788 "C:\Windows\SysWOW64\rdilp.exe"
C:\Windows\SysWOW64\ppeho.exe
C:\Windows\system32\ppeho.exe 792 "C:\Windows\SysWOW64\fqrbv.exe"
C:\Windows\SysWOW64\zatjb.exe
C:\Windows\system32\zatjb.exe 796 "C:\Windows\SysWOW64\ppeho.exe"
C:\Windows\SysWOW64\gigjv.exe
C:\Windows\system32\gigjv.exe 776 "C:\Windows\SysWOW64\zatjb.exe"
C:\Windows\SysWOW64\tyjme.exe
C:\Windows\system32\tyjme.exe 800 "C:\Windows\SysWOW64\gigjv.exe"
C:\Windows\SysWOW64\dfnjo.exe
C:\Windows\system32\dfnjo.exe 812 "C:\Windows\SysWOW64\tyjme.exe"
C:\Windows\SysWOW64\niduj.exe
C:\Windows\system32\niduj.exe 808 "C:\Windows\SysWOW64\dfnjo.exe"
C:\Windows\SysWOW64\xhpru.exe
C:\Windows\system32\xhpru.exe 804 "C:\Windows\SysWOW64\niduj.exe"
C:\Windows\SysWOW64\ccyhz.exe
C:\Windows\system32\ccyhz.exe 832 "C:\Windows\SysWOW64\xhpru.exe"
C:\Windows\SysWOW64\meorn.exe
C:\Windows\system32\meorn.exe 828 "C:\Windows\SysWOW64\ccyhz.exe"
C:\Windows\SysWOW64\zrfhs.exe
C:\Windows\system32\zrfhs.exe 820 "C:\Windows\SysWOW64\meorn.exe"
C:\Windows\SysWOW64\glemp.exe
C:\Windows\system32\glemp.exe 816 "C:\Windows\SysWOW64\zrfhs.exe"
C:\Windows\SysWOW64\uywkv.exe
C:\Windows\system32\uywkv.exe 824 "C:\Windows\SysWOW64\glemp.exe"
C:\Windows\SysWOW64\dewzl.exe
C:\Windows\system32\dewzl.exe 840 "C:\Windows\SysWOW64\uywkv.exe"
C:\Windows\SysWOW64\nlawe.exe
C:\Windows\system32\nlawe.exe 836 "C:\Windows\SysWOW64\dewzl.exe"
C:\Windows\SysWOW64\ykmco.exe
C:\Windows\system32\ykmco.exe 848 "C:\Windows\SysWOW64\nlawe.exe"
C:\Windows\SysWOW64\icczt.exe
C:\Windows\system32\icczt.exe 852 "C:\Windows\SysWOW64\ykmco.exe"
C:\Windows\SysWOW64\sivxr.exe
C:\Windows\system32\sivxr.exe 860 "C:\Windows\SysWOW64\icczt.exe"
C:\Windows\SysWOW64\fdmmx.exe
C:\Windows\system32\fdmmx.exe 864 "C:\Windows\SysWOW64\sivxr.exe"
C:\Windows\SysWOW64\pgcxk.exe
C:\Windows\system32\pgcxk.exe 844 "C:\Windows\SysWOW64\fdmmx.exe"
C:\Windows\SysWOW64\cttmq.exe
C:\Windows\system32\cttmq.exe 868 "C:\Windows\SysWOW64\pgcxk.exe"
C:\Windows\SysWOW64\mhuko.exe
C:\Windows\system32\mhuko.exe 872 "C:\Windows\SysWOW64\cttmq.exe"
C:\Windows\SysWOW64\zxpnw.exe
C:\Windows\system32\zxpnw.exe 876 "C:\Windows\SysWOW64\mhuko.exe"
C:\Windows\SysWOW64\jtpxe.exe
C:\Windows\system32\jtpxe.exe 880 "C:\Windows\SysWOW64\zxpnw.exe"
C:\Windows\SysWOW64\tauuo.exe
C:\Windows\system32\tauuo.exe 884 "C:\Windows\SysWOW64\jtpxe.exe"
C:\Windows\SysWOW64\ddjfk.exe
C:\Windows\system32\ddjfk.exe 900 "C:\Windows\SysWOW64\tauuo.exe"
C:\Windows\SysWOW64\ncvcu.exe
C:\Windows\system32\ncvcu.exe 856 "C:\Windows\SysWOW64\ddjfk.exe"
C:\Windows\SysWOW64\xjzin.exe
C:\Windows\system32\xjzin.exe 888 "C:\Windows\SysWOW64\ncvcu.exe"
C:\Windows\SysWOW64\kwrxs.exe
C:\Windows\system32\kwrxs.exe 896 "C:\Windows\SysWOW64\xjzin.exe"
C:\Windows\SysWOW64\pmokg.exe
C:\Windows\system32\pmokg.exe 908 "C:\Windows\SysWOW64\kwrxs.exe"
C:\Windows\SysWOW64\zplvc.exe
C:\Windows\system32\zplvc.exe 892 "C:\Windows\SysWOW64\pmokg.exe"
C:\Windows\SysWOW64\mngxk.exe
C:\Windows\system32\mngxk.exe 904 "C:\Windows\SysWOW64\zplvc.exe"
C:\Windows\SysWOW64\zebat.exe
C:\Windows\system32\zebat.exe 916 "C:\Windows\SysWOW64\mngxk.exe"
C:\Windows\SysWOW64\jzbka.exe
C:\Windows\system32\jzbka.exe 920 "C:\Windows\SysWOW64\zebat.exe"
C:\Windows\SysWOW64\tygqt.exe
C:\Windows\system32\tygqt.exe 924 "C:\Windows\SysWOW64\jzbka.exe"
C:\Windows\SysWOW64\gamxe.exe
C:\Windows\system32\gamxe.exe 932 "C:\Windows\SysWOW64\tygqt.exe"
C:\Windows\SysWOW64\qzyvp.exe
C:\Windows\system32\qzyvp.exe 936 "C:\Windows\SysWOW64\gamxe.exe"
C:\Windows\SysWOW64\xlwim.exe
C:\Windows\system32\xlwim.exe 940 "C:\Windows\SysWOW64\qzyvp.exe"
C:\Windows\SysWOW64\kjrlu.exe
C:\Windows\system32\kjrlu.exe 944 "C:\Windows\SysWOW64\xlwim.exe"
C:\Windows\SysWOW64\snbqe.exe
C:\Windows\system32\snbqe.exe 912 "C:\Windows\SysWOW64\kjrlu.exe"
C:\Windows\SysWOW64\cmonw.exe
C:\Windows\system32\cmonw.exe 948 "C:\Windows\SysWOW64\snbqe.exe"
C:\Windows\SysWOW64\mlstg.exe
C:\Windows\system32\mlstg.exe 952 "C:\Windows\SysWOW64\cmonw.exe"
C:\Windows\SysWOW64\zkmnp.exe
C:\Windows\system32\zkmnp.exe 928 "C:\Windows\SysWOW64\mlstg.exe"
C:\Windows\SysWOW64\mapqy.exe
C:\Windows\system32\mapqy.exe 964 "C:\Windows\SysWOW64\zkmnp.exe"
C:\Windows\SysWOW64\wlfat.exe
C:\Windows\system32\wlfat.exe 960 "C:\Windows\SysWOW64\mapqy.exe"
C:\Windows\SysWOW64\goulg.exe
C:\Windows\system32\goulg.exe 968 "C:\Windows\SysWOW64\wlfat.exe"
C:\Windows\SysWOW64\tbmbm.exe
C:\Windows\system32\tbmbm.exe 972 "C:\Windows\SysWOW64\goulg.exe"
C:\Windows\SysWOW64\dlblh.exe
C:\Windows\system32\dlblh.exe 956 "C:\Windows\SysWOW64\tbmbm.exe"
C:\Windows\SysWOW64\qcwoq.exe
C:\Windows\system32\qcwoq.exe 976 "C:\Windows\SysWOW64\dlblh.exe"
C:\Windows\SysWOW64\dsrqy.exe
C:\Windows\system32\dsrqy.exe 984 "C:\Windows\SysWOW64\qcwoq.exe"
C:\Windows\SysWOW64\qrtth.exe
C:\Windows\system32\qrtth.exe 988 "C:\Windows\SysWOW64\dsrqy.exe"
C:\Windows\SysWOW64\ztjdu.exe
C:\Windows\system32\ztjdu.exe 992 "C:\Windows\SysWOW64\qrtth.exe"
C:\Windows\SysWOW64\jeyop.exe
C:\Windows\system32\jeyop.exe 996 "C:\Windows\SysWOW64\ztjdu.exe"
C:\Windows\SysWOW64\orqev.exe
C:\Windows\system32\orqev.exe 980 "C:\Windows\SysWOW64\jeyop.exe"
C:\Windows\SysWOW64\bhkge.exe
C:\Windows\system32\bhkge.exe 1008 "C:\Windows\SysWOW64\orqev.exe"
C:\Windows\SysWOW64\lsarr.exe
C:\Windows\system32\lsarr.exe 1000 "C:\Windows\SysWOW64\bhkge.exe"
C:\Windows\SysWOW64\vrmob.exe
C:\Windows\system32\vrmob.exe 1012 "C:\Windows\SysWOW64\lsarr.exe"
C:\Windows\SysWOW64\iqhrs.exe
C:\Windows\system32\iqhrs.exe 1004 "C:\Windows\SysWOW64\vrmob.exe"
C:\Windows\SysWOW64\sswbf.exe
C:\Windows\system32\sswbf.exe 1016 "C:\Windows\SysWOW64\iqhrs.exe"
C:\Windows\SysWOW64\fforl.exe
C:\Windows\system32\fforl.exe 1028 "C:\Windows\SysWOW64\sswbf.exe"
C:\Windows\SysWOW64\sejtu.exe
C:\Windows\system32\sejtu.exe 1020 "C:\Windows\SysWOW64\fforl.exe"
C:\Windows\SysWOW64\cgyeh.exe
C:\Windows\system32\cgyeh.exe 1036 "C:\Windows\SysWOW64\sejtu.exe"
C:\Windows\SysWOW64\mrnoc.exe
C:\Windows\system32\mrnoc.exe 1040 "C:\Windows\SysWOW64\cgyeh.exe"
C:\Windows\SysWOW64\zefei.exe
C:\Windows\system32\zefei.exe 1044 "C:\Windows\SysWOW64\mrnoc.exe"
C:\Windows\SysWOW64\muahr.exe
C:\Windows\system32\muahr.exe 1048 "C:\Windows\SysWOW64\zefei.exe"
C:\Windows\SysWOW64\wbmeb.exe
C:\Windows\system32\wbmeb.exe 1052 "C:\Windows\SysWOW64\muahr.exe"
C:\Windows\SysWOW64\gimbz.exe
C:\Windows\system32\gimbz.exe 1056 "C:\Windows\SysWOW64\wbmeb.exe"
C:\Windows\SysWOW64\tuwrf.exe
C:\Windows\system32\tuwrf.exe 1064 "C:\Windows\SysWOW64\gimbz.exe"
C:\Windows\SysWOW64\gtzun.exe
C:\Windows\system32\gtzun.exe 1032 "C:\Windows\SysWOW64\tuwrf.exe"
C:\Windows\SysWOW64\qwoeb.exe
C:\Windows\system32\qwoeb.exe 1068 "C:\Windows\SysWOW64\gtzun.exe"
C:\Windows\SysWOW64\dujhj.exe
C:\Windows\system32\dujhj.exe 1072 "C:\Windows\SysWOW64\qwoeb.exe"
C:\Windows\SysWOW64\qleka.exe
C:\Windows\system32\qleka.exe 1076 "C:\Windows\SysWOW64\dujhj.exe"
C:\Windows\SysWOW64\zzezq.exe
C:\Windows\system32\zzezq.exe 1080 "C:\Windows\SysWOW64\qleka.exe"
C:\Windows\SysWOW64\nmwpw.exe
C:\Windows\system32\nmwpw.exe 1084 "C:\Windows\SysWOW64\zzezq.exe"
C:\Windows\SysWOW64\acrre.exe
C:\Windows\system32\acrre.exe 1088 "C:\Windows\SysWOW64\nmwpw.exe"
C:\Windows\SysWOW64\jngcs.exe
C:\Windows\system32\jngcs.exe 1092 "C:\Windows\SysWOW64\acrre.exe"
C:\Windows\SysWOW64\wdjei.exe
C:\Windows\system32\wdjei.exe 1060 "C:\Windows\SysWOW64\jngcs.exe"
C:\Windows\SysWOW64\jfpuu.exe
C:\Windows\system32\jfpuu.exe 1104 "C:\Windows\SysWOW64\wdjei.exe"
C:\Windows\SysWOW64\tqefh.exe
C:\Windows\system32\tqefh.exe 1100 "C:\Windows\SysWOW64\jfpuu.exe"
C:\Windows\SysWOW64\ggzhp.exe
C:\Windows\system32\ggzhp.exe 1096 "C:\Windows\SysWOW64\tqefh.exe"
C:\Windows\SysWOW64\txuky.exe
C:\Windows\system32\txuky.exe 1108 "C:\Windows\SysWOW64\ggzhp.exe"
C:\Windows\SysWOW64\gvxnh.exe
C:\Windows\system32\gvxnh.exe 1112 "C:\Windows\SysWOW64\txuky.exe"
C:\Windows\SysWOW64\tmspx.exe
C:\Windows\system32\tmspx.exe 1120 "C:\Windows\SysWOW64\gvxnh.exe"
C:\Windows\SysWOW64\casfn.exe
C:\Windows\system32\casfn.exe 1116 "C:\Windows\SysWOW64\tmspx.exe"
C:\Windows\SysWOW64\pqnhw.exe
C:\Windows\system32\pqnhw.exe 1128 "C:\Windows\SysWOW64\casfn.exe"
C:\Windows\SysWOW64\cpqke.exe
C:\Windows\system32\cpqke.exe 1132 "C:\Windows\SysWOW64\pqnhw.exe"
C:\Windows\SysWOW64\pflnn.exe
C:\Windows\system32\pflnn.exe 1136 "C:\Windows\SysWOW64\cpqke.exe"
C:\Windows\SysWOW64\cefpw.exe
C:\Windows\system32\cefpw.exe 1144 "C:\Windows\SysWOW64\pflnn.exe"
C:\Windows\SysWOW64\lkgnu.exe
C:\Windows\system32\lkgnu.exe 1148 "C:\Windows\SysWOW64\cefpw.exe"
C:\Windows\SysWOW64\yijic.exe
C:\Windows\system32\yijic.exe 1156 "C:\Windows\SysWOW64\lkgnu.exe"
C:\Windows\SysWOW64\lcpxo.exe
C:\Windows\system32\lcpxo.exe 1140 "C:\Windows\SysWOW64\yijic.exe"
C:\Windows\SysWOW64\yxznt.exe
C:\Windows\system32\yxznt.exe 1152 "C:\Windows\SysWOW64\lcpxo.exe"
C:\Windows\SysWOW64\lobqc.exe
C:\Windows\system32\lobqc.exe 1160 "C:\Windows\SysWOW64\yxznt.exe"
C:\Windows\SysWOW64\vrrax.exe
C:\Windows\system32\vrrax.exe 1168 "C:\Windows\SysWOW64\lobqc.exe"
C:\Windows\SysWOW64\ipldg.exe
C:\Windows\system32\ipldg.exe 1124 "C:\Windows\SysWOW64\vrrax.exe"
C:\Windows\SysWOW64\ssbnt.exe
C:\Windows\system32\ssbnt.exe 1172 "C:\Windows\SysWOW64\ipldg.exe"
C:\Windows\SysWOW64\fqeqc.exe
C:\Windows\system32\fqeqc.exe 1176 "C:\Windows\SysWOW64\ssbnt.exe"
C:\Windows\SysWOW64\shysk.exe
C:\Windows\system32\shysk.exe 1184 "C:\Windows\SysWOW64\fqeqc.exe"
C:\Windows\SysWOW64\fftvt.exe
C:\Windows\system32\fftvt.exe 1180 "C:\Windows\SysWOW64\shysk.exe"
C:\Windows\SysWOW64\olukr.exe
C:\Windows\system32\olukr.exe 1192 "C:\Windows\SysWOW64\fftvt.exe"
C:\Windows\SysWOW64\bkpna.exe
C:\Windows\system32\bkpna.exe 1188 "C:\Windows\SysWOW64\olukr.exe"
C:\Windows\SysWOW64\djbtk.exe
C:\Windows\system32\djbtk.exe 1164 "C:\Windows\SysWOW64\bkpna.exe"
C:\Windows\SysWOW64\qzwnt.exe
C:\Windows\system32\qzwnt.exe 1200 "C:\Windows\SysWOW64\djbtk.exe"
C:\Windows\SysWOW64\dyqqb.exe
C:\Windows\system32\dyqqb.exe 1204 "C:\Windows\SysWOW64\qzwnt.exe"
C:\Windows\SysWOW64\qottk.exe
C:\Windows\system32\qottk.exe 1208 "C:\Windows\SysWOW64\dyqqb.exe"
C:\Windows\SysWOW64\acuqi.exe
C:\Windows\system32\acuqi.exe 1196 "C:\Windows\SysWOW64\qottk.exe"
C:\Windows\SysWOW64\qhulm.exe
C:\Windows\system32\qhulm.exe 1212 "C:\Windows\SysWOW64\acuqi.exe"
C:\Windows\SysWOW64\zrkvz.exe
C:\Windows\system32\zrkvz.exe 1232 "C:\Windows\SysWOW64\qhulm.exe"
C:\Windows\SysWOW64\mimyi.exe
C:\Windows\system32\mimyi.exe 1228 "C:\Windows\SysWOW64\zrkvz.exe"
C:\Windows\SysWOW64\wscid.exe
C:\Windows\system32\wscid.exe 1224 "C:\Windows\SysWOW64\mimyi.exe"
C:\Windows\SysWOW64\jjxlm.exe
C:\Windows\system32\jjxlm.exe 1220 "C:\Windows\SysWOW64\wscid.exe"
C:\Windows\SysWOW64\whrou.exe
C:\Windows\system32\whrou.exe 1236 "C:\Windows\SysWOW64\jjxlm.exe"
C:\Windows\SysWOW64\jyujd.exe
C:\Windows\system32\jyujd.exe 1240 "C:\Windows\SysWOW64\whrou.exe"
C:\Windows\SysWOW64\tmvgt.exe
C:\Windows\system32\tmvgt.exe 1248 "C:\Windows\SysWOW64\jyujd.exe"
C:\Windows\SysWOW64\gzewz.exe
C:\Windows\system32\gzewz.exe 1244 "C:\Windows\SysWOW64\tmvgt.exe"
C:\Windows\SysWOW64\qcugu.exe
C:\Windows\system32\qcugu.exe 1260 "C:\Windows\SysWOW64\gzewz.exe"
C:\Windows\SysWOW64\dxlwa.exe
C:\Windows\system32\dxlwa.exe 1252 "C:\Windows\SysWOW64\qcugu.exe"
C:\Windows\SysWOW64\nzbgn.exe
C:\Windows\system32\nzbgn.exe 1256 "C:\Windows\SysWOW64\dxlwa.exe"
C:\Windows\SysWOW64\aqdjv.exe
C:\Windows\system32\aqdjv.exe 1216 "C:\Windows\SysWOW64\nzbgn.exe"
C:\Windows\SysWOW64\noyme.exe
C:\Windows\system32\noyme.exe 1280 "C:\Windows\SysWOW64\aqdjv.exe"
C:\Windows\SysWOW64\wczjc.exe
C:\Windows\system32\wczjc.exe 1268 "C:\Windows\SysWOW64\noyme.exe"
C:\Windows\SysWOW64\gbdgm.exe
C:\Windows\system32\gbdgm.exe 1276 "C:\Windows\SysWOW64\wczjc.exe"
C:\Windows\SysWOW64\tsyjv.exe
C:\Windows\system32\tsyjv.exe 1264 "C:\Windows\SysWOW64\gbdgm.exe"
C:\Windows\SysWOW64\gqbme.exe
C:\Windows\system32\gqbme.exe 1288 "C:\Windows\SysWOW64\tsyjv.exe"
C:\Windows\SysWOW64\thvom.exe
C:\Windows\system32\thvom.exe 1284 "C:\Windows\SysWOW64\gqbme.exe"
C:\Windows\SysWOW64\gxqrd.exe
C:\Windows\system32\gxqrd.exe 1272 "C:\Windows\SysWOW64\thvom.exe"
C:\Windows\SysWOW64\qmrgt.exe
C:\Windows\system32\qmrgt.exe 1296 "C:\Windows\SysWOW64\gxqrd.exe"
C:\Windows\SysWOW64\dkujc.exe
C:\Windows\system32\dkujc.exe 1304 "C:\Windows\SysWOW64\qmrgt.exe"
C:\Windows\SysWOW64\qxdzh.exe
C:\Windows\system32\qxdzh.exe 1300 "C:\Windows\SysWOW64\dkujc.exe"
C:\Windows\SysWOW64\aatjv.exe
C:\Windows\system32\aatjv.exe 1312 "C:\Windows\SysWOW64\qxdzh.exe"
C:\Windows\SysWOW64\kkquq.exe
C:\Windows\system32\kkquq.exe 1320 "C:\Windows\SysWOW64\aatjv.exe"
C:\Windows\SysWOW64\wblwy.exe
C:\Windows\system32\wblwy.exe 1292 "C:\Windows\SysWOW64\kkquq.exe"
C:\Windows\SysWOW64\jzgzh.exe
C:\Windows\system32\jzgzh.exe 1316 "C:\Windows\SysWOW64\wblwy.exe"
C:\Windows\SysWOW64\tcvju.exe
C:\Windows\system32\tcvju.exe 1328 "C:\Windows\SysWOW64\jzgzh.exe"
C:\Windows\SysWOW64\gpnza.exe
C:\Windows\system32\gpnza.exe 1324 "C:\Windows\SysWOW64\tcvju.exe"
C:\Windows\SysWOW64\qzcjv.exe
C:\Windows\system32\qzcjv.exe 1308 "C:\Windows\SysWOW64\gpnza.exe"
C:\Windows\SysWOW64\emtzb.exe
C:\Windows\system32\emtzb.exe 1332 "C:\Windows\SysWOW64\qzcjv.exe"
C:\Windows\SysWOW64\npjko.exe
C:\Windows\system32\npjko.exe 1336 "C:\Windows\SysWOW64\emtzb.exe"
C:\Windows\SysWOW64\anemx.exe
C:\Windows\system32\anemx.exe 1344 "C:\Windows\SysWOW64\npjko.exe"
C:\Windows\SysWOW64\negpn.exe
C:\Windows\system32\negpn.exe 1340 "C:\Windows\SysWOW64\anemx.exe"
C:\Windows\SysWOW64\xpwzb.exe
C:\Windows\system32\xpwzb.exe 1352 "C:\Windows\SysWOW64\negpn.exe"
C:\Windows\SysWOW64\hoaxl.exe
C:\Windows\system32\hoaxl.exe 1356 "C:\Windows\SysWOW64\xpwzb.exe"
C:\Windows\SysWOW64\uqgmx.exe
C:\Windows\system32\uqgmx.exe 1360 "C:\Windows\SysWOW64\hoaxl.exe"
C:\Windows\SysWOW64\hdycc.exe
C:\Windows\system32\hdycc.exe 1372 "C:\Windows\SysWOW64\uqgmx.exe"
C:\Windows\SysWOW64\rfnny.exe
C:\Windows\system32\rfnny.exe 1364 "C:\Windows\SysWOW64\hdycc.exe"
C:\Windows\SysWOW64\eeipg.exe
C:\Windows\system32\eeipg.exe 1376 "C:\Windows\SysWOW64\rfnny.exe"
C:\Windows\SysWOW64\ogxat.exe
C:\Windows\system32\ogxat.exe 1368 "C:\Windows\SysWOW64\eeipg.exe"
C:\Windows\SysWOW64\btppz.exe
C:\Windows\system32\btppz.exe 1388 "C:\Windows\SysWOW64\ogxat.exe"
C:\Windows\SysWOW64\lhpnx.exe
C:\Windows\system32\lhpnx.exe 1380 "C:\Windows\SysWOW64\btppz.exe"
C:\Windows\SysWOW64\qykhg.exe
C:\Windows\system32\qykhg.exe 1396 "C:\Windows\SysWOW64\lhpnx.exe"
C:\Windows\SysWOW64\cwnko.exe
C:\Windows\system32\cwnko.exe 1384 "C:\Windows\SysWOW64\qykhg.exe"
C:\Windows\SysWOW64\pninx.exe
C:\Windows\system32\pninx.exe 1400 "C:\Windows\SysWOW64\cwnko.exe"
C:\Windows\SysWOW64\cldpg.exe
C:\Windows\system32\cldpg.exe 1348 "C:\Windows\SysWOW64\pninx.exe"
C:\Windows\SysWOW64\mosab.exe
C:\Windows\system32\mosab.exe 1404 "C:\Windows\SysWOW64\cldpg.exe"
C:\Windows\SysWOW64\wzpko.exe
C:\Windows\system32\wzpko.exe 1408 "C:\Windows\SysWOW64\mosab.exe"
C:\Windows\SysWOW64\jpknx.exe
C:\Windows\system32\jpknx.exe 1392 "C:\Windows\SysWOW64\wzpko.exe"
C:\Windows\SysWOW64\wofqf.exe
C:\Windows\system32\wofqf.exe 1416 "C:\Windows\SysWOW64\jpknx.exe"
C:\Windows\SysWOW64\jeiso.exe
C:\Windows\system32\jeiso.exe 1424 "C:\Windows\SysWOW64\wofqf.exe"
C:\Windows\SysWOW64\thxdj.exe
C:\Windows\system32\thxdj.exe 1420 "C:\Windows\SysWOW64\jeiso.exe"
C:\Windows\SysWOW64\gfsfs.exe
C:\Windows\system32\gfsfs.exe 1428 "C:\Windows\SysWOW64\thxdj.exe"
C:\Windows\SysWOW64\twnia.exe
C:\Windows\system32\twnia.exe 1412 "C:\Windows\SysWOW64\gfsfs.exe"
C:\Windows\SysWOW64\cgkso.exe
C:\Windows\system32\cgkso.exe 1440 "C:\Windows\SysWOW64\twnia.exe"
C:\Windows\SysWOW64\pxfnw.exe
C:\Windows\system32\pxfnw.exe 1436 "C:\Windows\SysWOW64\cgkso.exe"
C:\Windows\SysWOW64\zhuyr.exe
C:\Windows\system32\zhuyr.exe 1460 "C:\Windows\SysWOW64\pxfnw.exe"
C:\Windows\SysWOW64\mypaa.exe
C:\Windows\system32\mypaa.exe 1432 "C:\Windows\SysWOW64\zhuyr.exe"
C:\Windows\SysWOW64\zlhqg.exe
C:\Windows\system32\zlhqg.exe 1452 "C:\Windows\SysWOW64\mypaa.exe"
C:\Windows\SysWOW64\jvwat.exe
C:\Windows\system32\jvwat.exe 1448 "C:\Windows\SysWOW64\zlhqg.exe"
C:\Windows\SysWOW64\tyllo.exe
C:\Windows\system32\tyllo.exe 1456 "C:\Windows\SysWOW64\jvwat.exe"
C:\Windows\SysWOW64\dxyiz.exe
C:\Windows\system32\dxyiz.exe 1464 "C:\Windows\SysWOW64\tyllo.exe"
C:\Windows\SysWOW64\qshge.exe
C:\Windows\system32\qshge.exe 1472 "C:\Windows\SysWOW64\dxyiz.exe"
C:\Windows\SysWOW64\djkjn.exe
C:\Windows\system32\djkjn.exe 1444 "C:\Windows\SysWOW64\qshge.exe"
C:\Windows\SysWOW64\ntzla.exe
C:\Windows\system32\ntzla.exe 1480 "C:\Windows\SysWOW64\djkjn.exe"
C:\Windows\SysWOW64\xwpvv.exe
C:\Windows\system32\xwpvv.exe 1476 "C:\Windows\SysWOW64\ntzla.exe"
C:\Windows\SysWOW64\kjgtb.exe
C:\Windows\system32\kjgtb.exe 1484 "C:\Windows\SysWOW64\xwpvv.exe"
C:\Windows\SysWOW64\utwvp.exe
C:\Windows\system32\utwvp.exe 1488 "C:\Windows\SysWOW64\kjgtb.exe"
C:\Windows\SysWOW64\hgftu.exe
C:\Windows\system32\hgftu.exe 1496 "C:\Windows\SysWOW64\utwvp.exe"
C:\Windows\SysWOW64\rugjs.exe
C:\Windows\system32\rugjs.exe 1504 "C:\Windows\SysWOW64\hgftu.exe"
C:\Windows\SysWOW64\ehxyy.exe
C:\Windows\system32\ehxyy.exe 1492 "C:\Windows\SysWOW64\rugjs.exe"
C:\Windows\SysWOW64\oknjl.exe
C:\Windows\system32\oknjl.exe 1508 "C:\Windows\SysWOW64\ehxyy.exe"
C:\Windows\SysWOW64\bxegr.exe
C:\Windows\system32\bxegr.exe 1468 "C:\Windows\SysWOW64\oknjl.exe"
C:\Windows\SysWOW64\llxwp.exe
C:\Windows\system32\llxwp.exe 1500 "C:\Windows\SysWOW64\bxegr.exe"
C:\Windows\SysWOW64\vkjta.exe
C:\Windows\system32\vkjta.exe 1520 "C:\Windows\SysWOW64\llxwp.exe"
C:\Windows\SysWOW64\ijewi.exe
C:\Windows\system32\ijewi.exe 1516 "C:\Windows\SysWOW64\vkjta.exe"
C:\Windows\SysWOW64\vwvmo.exe
C:\Windows\system32\vwvmo.exe 1528 "C:\Windows\SysWOW64\ijewi.exe"
C:\Windows\SysWOW64\fylwj.exe
C:\Windows\system32\fylwj.exe 1524 "C:\Windows\SysWOW64\vwvmo.exe"
C:\Windows\SysWOW64\pjagw.exe
C:\Windows\system32\pjagw.exe 1544 "C:\Windows\SysWOW64\fylwj.exe"
C:\Windows\SysWOW64\czvjf.exe
C:\Windows\system32\czvjf.exe 1532 "C:\Windows\SysWOW64\pjagw.exe"
C:\Windows\SysWOW64\pumzl.exe
C:\Windows\system32\pumzl.exe 1512 "C:\Windows\SysWOW64\czvjf.exe"
C:\Windows\SysWOW64\wglmi.exe
C:\Windows\system32\wglmi.exe 1540 "C:\Windows\SysWOW64\pumzl.exe"
C:\Windows\SysWOW64\jirut.exe
C:\Windows\system32\jirut.exe 1552 "C:\Windows\SysWOW64\wglmi.exe"
C:\Windows\SysWOW64\wyuwc.exe
C:\Windows\system32\wyuwc.exe 1556 "C:\Windows\SysWOW64\jirut.exe"
C:\Windows\SysWOW64\jlemi.exe
C:\Windows\system32\jlemi.exe 1548 "C:\Windows\SysWOW64\wyuwc.exe"
C:\Windows\SysWOW64\twtwv.exe
C:\Windows\system32\twtwv.exe 1536 "C:\Windows\SysWOW64\jlemi.exe"
C:\Windows\SysWOW64\dyqhq.exe
C:\Windows\system32\dyqhq.exe 1560 "C:\Windows\SysWOW64\twtwv.exe"
C:\Windows\SysWOW64\qlaww.exe
C:\Windows\system32\qlaww.exe 1580 "C:\Windows\SysWOW64\dyqhq.exe"
C:\Windows\SysWOW64\awphj.exe
C:\Windows\system32\awphj.exe 1568 "C:\Windows\SysWOW64\qlaww.exe"
C:\Windows\SysWOW64\fjhxp.exe
C:\Windows\system32\fjhxp.exe 1572 "C:\Windows\SysWOW64\awphj.exe"
C:\Windows\SysWOW64\oxhun.exe
C:\Windows\system32\oxhun.exe 1564 "C:\Windows\SysWOW64\fjhxp.exe"
C:\Windows\SysWOW64\ckrkt.exe
C:\Windows\system32\ckrkt.exe 1584 "C:\Windows\SysWOW64\oxhun.exe"
C:\Windows\SysWOW64\paumb.exe
C:\Windows\system32\paumb.exe 1588 "C:\Windows\SysWOW64\ckrkt.exe"
C:\Windows\SysWOW64\ypukr.exe
C:\Windows\system32\ypukr.exe 1576 "C:\Windows\SysWOW64\paumb.exe"
C:\Windows\SysWOW64\lcezx.exe
C:\Windows\system32\lcezx.exe 1596 "C:\Windows\SysWOW64\ypukr.exe"
C:\Windows\SysWOW64\vbqxq.exe
C:\Windows\system32\vbqxq.exe 1600 "C:\Windows\SysWOW64\lcezx.exe"
C:\Windows\SysWOW64\izlzy.exe
C:\Windows\system32\izlzy.exe 1592 "C:\Windows\SysWOW64\vbqxq.exe"
C:\Windows\SysWOW64\typxj.exe
C:\Windows\system32\typxj.exe 1608 "C:\Windows\SysWOW64\izlzy.exe"
C:\Windows\SysWOW64\fpsar.exe
C:\Windows\system32\fpsar.exe 1620 "C:\Windows\SysWOW64\typxj.exe"
C:\Windows\SysWOW64\pzhkm.exe
C:\Windows\system32\pzhkm.exe 1612 "C:\Windows\SysWOW64\fpsar.exe"
C:\Windows\SysWOW64\zylhx.exe
C:\Windows\system32\zylhx.exe 1604 "C:\Windows\SysWOW64\pzhkm.exe"
C:\Windows\SysWOW64\jjjsk.exe
C:\Windows\system32\jjjsk.exe 1624 "C:\Windows\SysWOW64\zylhx.exe"
C:\Windows\SysWOW64\xwshq.exe
C:\Windows\system32\xwshq.exe 1632 "C:\Windows\SysWOW64\jjjsk.exe"
C:\Windows\SysWOW64\jnnkh.exe
C:\Windows\system32\jnnkh.exe 1628 "C:\Windows\SysWOW64\xwshq.exe"
C:\Windows\SysWOW64\txkvu.exe
C:\Windows\system32\txkvu.exe 1636 "C:\Windows\SysWOW64\jnnkh.exe"
C:\Windows\SysWOW64\daafh.exe
C:\Windows\system32\daafh.exe 1640 "C:\Windows\SysWOW64\txkvu.exe"
C:\Windows\SysWOW64\qnjvn.exe
C:\Windows\system32\qnjvn.exe 1644 "C:\Windows\SysWOW64\daafh.exe"
C:\Windows\SysWOW64\axhfi.exe
C:\Windows\system32\axhfi.exe 1648 "C:\Windows\SysWOW64\qnjvn.exe"
C:\Windows\SysWOW64\kwlcs.exe
C:\Windows\system32\kwlcs.exe 1616 "C:\Windows\SysWOW64\axhfi.exe"
C:\Windows\SysWOW64\xvgfb.exe
C:\Windows\system32\xvgfb.exe 1652 "C:\Windows\SysWOW64\kwlcs.exe"
C:\Windows\SysWOW64\hxvqw.exe
C:\Windows\system32\hxvqw.exe 1664 "C:\Windows\SysWOW64\xvgfb.exe"
C:\Windows\SysWOW64\uknfc.exe
C:\Windows\system32\uknfc.exe 1656 "C:\Windows\SysWOW64\hxvqw.exe"
C:\Windows\SysWOW64\evcqp.exe
C:\Windows\system32\evcqp.exe 1680 "C:\Windows\SysWOW64\uknfc.exe"
C:\Windows\SysWOW64\riufv.exe
C:\Windows\system32\riufv.exe 1668 "C:\Windows\SysWOW64\evcqp.exe"
C:\Windows\SysWOW64\chylf.exe
C:\Windows\system32\chylf.exe 1684 "C:\Windows\SysWOW64\riufv.exe"
C:\Windows\SysWOW64\lvyae.exe
C:\Windows\system32\lvyae.exe 1672 "C:\Windows\SysWOW64\chylf.exe"
C:\Windows\SysWOW64\yiqqj.exe
C:\Windows\system32\yiqqj.exe 1676 "C:\Windows\SysWOW64\lvyae.exe"
C:\Windows\SysWOW64\itfax.exe
C:\Windows\system32\itfax.exe 1692 "C:\Windows\SysWOW64\yiqqj.exe"
C:\Windows\SysWOW64\vgpyc.exe
C:\Windows\system32\vgpyc.exe 1700 "C:\Windows\SysWOW64\itfax.exe"
C:\Windows\SysWOW64\fmpna.exe
C:\Windows\system32\fmpna.exe 1660 "C:\Windows\SysWOW64\vgpyc.exe"
C:\Windows\SysWOW64\sksqj.exe
C:\Windows\system32\sksqj.exe 1688 "C:\Windows\SysWOW64\fmpna.exe"
C:\Windows\SysWOW64\fbnts.exe
C:\Windows\system32\fbnts.exe 1704 "C:\Windows\SysWOW64\sksqj.exe"
C:\Windows\SysWOW64\sziva.exe
C:\Windows\system32\sziva.exe 1708 "C:\Windows\SysWOW64\fbnts.exe"
C:\Windows\SysWOW64\fqlyj.exe
C:\Windows\system32\fqlyj.exe 1712 "C:\Windows\SysWOW64\sziva.exe"
C:\Windows\SysWOW64\oelvh.exe
C:\Windows\system32\oelvh.exe 1716 "C:\Windows\SysWOW64\fqlyj.exe"
C:\Windows\SysWOW64\bvgqp.exe
C:\Windows\system32\bvgqp.exe 1696 "C:\Windows\SysWOW64\oelvh.exe"
C:\Windows\SysWOW64\otbty.exe
C:\Windows\system32\otbty.exe 1720 "C:\Windows\SysWOW64\bvgqp.exe"
C:\Windows\SysWOW64\bjewh.exe
C:\Windows\system32\bjewh.exe 1728 "C:\Windows\SysWOW64\otbty.exe"
C:\Windows\SysWOW64\lutgu.exe
C:\Windows\system32\lutgu.exe 1740 "C:\Windows\SysWOW64\bjewh.exe"
C:\Windows\SysWOW64\ylojc.exe
C:\Windows\system32\ylojc.exe 1744 "C:\Windows\SysWOW64\lutgu.exe"
C:\Windows\SysWOW64\indty.exe
C:\Windows\system32\indty.exe 1736 "C:\Windows\SysWOW64\ylojc.exe"
C:\Windows\SysWOW64\vivjd.exe
C:\Windows\system32\vivjd.exe 1732 "C:\Windows\SysWOW64\indty.exe"
C:\Windows\SysWOW64\fhzgo.exe
C:\Windows\system32\fhzgo.exe 1760 "C:\Windows\SysWOW64\vivjd.exe"
C:\Windows\SysWOW64\sjfwz.exe
C:\Windows\system32\sjfwz.exe 1748 "C:\Windows\SysWOW64\fhzgo.exe"
C:\Windows\SysWOW64\cmugv.exe
C:\Windows\system32\cmugv.exe 1756 "C:\Windows\SysWOW64\sjfwz.exe"
C:\Windows\SysWOW64\pcxjd.exe
C:\Windows\system32\pcxjd.exe 1752 "C:\Windows\SysWOW64\cmugv.exe"
C:\Windows\SysWOW64\ubsmm.exe
C:\Windows\system32\ubsmm.exe 1764 "C:\Windows\SysWOW64\pcxjd.exe"
C:\Windows\SysWOW64\ddhwz.exe
C:\Windows\system32\ddhwz.exe 1724 "C:\Windows\SysWOW64\ubsmm.exe"
C:\Windows\SysWOW64\qckzi.exe
C:\Windows\system32\qckzi.exe 1768 "C:\Windows\SysWOW64\ddhwz.exe"
C:\Windows\SysWOW64\dsfbq.exe
C:\Windows\system32\dsfbq.exe 1772 "C:\Windows\SysWOW64\qckzi.exe"
C:\Windows\SysWOW64\qraeh.exe
C:\Windows\system32\qraeh.exe 1784 "C:\Windows\SysWOW64\dsfbq.exe"
C:\Windows\SysWOW64\dhdzp.exe
C:\Windows\system32\dhdzp.exe 1776 "C:\Windows\SysWOW64\qraeh.exe"
C:\Windows\SysWOW64\nwvwf.exe
C:\Windows\system32\nwvwf.exe 1800 "C:\Windows\SysWOW64\dhdzp.exe"
C:\Windows\SysWOW64\amyzo.exe
C:\Windows\system32\amyzo.exe 1788 "C:\Windows\SysWOW64\nwvwf.exe"
C:\Windows\SysWOW64\nltbx.exe
C:\Windows\system32\nltbx.exe 1796 "C:\Windows\SysWOW64\amyzo.exe"
C:\Windows\SysWOW64\aboef.exe
C:\Windows\system32\aboef.exe 1792 "C:\Windows\SysWOW64\nltbx.exe"
C:\Windows\SysWOW64\jelpa.exe
C:\Windows\system32\jelpa.exe 1780 "C:\Windows\SysWOW64\aboef.exe"
C:\Windows\SysWOW64\wcgrj.exe
C:\Windows\system32\wcgrj.exe 1804 "C:\Windows\SysWOW64\jelpa.exe"
C:\Windows\SysWOW64\gfvcw.exe
C:\Windows\system32\gfvcw.exe 1812 "C:\Windows\SysWOW64\wcgrj.exe"
C:\Windows\SysWOW64\tdqef.exe
C:\Windows\system32\tdqef.exe 1816 "C:\Windows\SysWOW64\gfvcw.exe"
C:\Windows\SysWOW64\gqiul.exe
C:\Windows\system32\gqiul.exe 1820 "C:\Windows\SysWOW64\tdqef.exe"
C:\Windows\SysWOW64\qeijj.exe
C:\Windows\system32\qeijj.exe 1824 "C:\Windows\SysWOW64\gqiul.exe"
C:\Windows\SysWOW64\gjien.exe
C:\Windows\system32\gjien.exe 1836 "C:\Windows\SysWOW64\qeijj.exe"
C:\Windows\SysWOW64\qxjcd.exe
C:\Windows\system32\qxjcd.exe 1828 "C:\Windows\SysWOW64\gjien.exe"
C:\Windows\SysWOW64\cnmel.exe
C:\Windows\system32\cnmel.exe 1808 "C:\Windows\SysWOW64\qxjcd.exe"
C:\Windows\SysWOW64\qavur.exe
C:\Windows\system32\qavur.exe 1840 "C:\Windows\SysWOW64\cnmel.exe"
C:\Windows\SysWOW64\zowsp.exe
C:\Windows\system32\zowsp.exe 1844 "C:\Windows\SysWOW64\qavur.exe"
C:\Windows\SysWOW64\mbohv.exe
C:\Windows\system32\mbohv.exe 1860 "C:\Windows\SysWOW64\zowsp.exe"
C:\Windows\SysWOW64\xasff.exe
C:\Windows\system32\xasff.exe 1848 "C:\Windows\SysWOW64\mbohv.exe"
C:\Windows\SysWOW64\jcyur.exe
C:\Windows\system32\jcyur.exe 1864 "C:\Windows\SysWOW64\xasff.exe"
C:\Windows\SysWOW64\wbtxz.exe
C:\Windows\system32\wbtxz.exe 1852 "C:\Windows\SysWOW64\jcyur.exe"
C:\Windows\SysWOW64\jrvai.exe
C:\Windows\system32\jrvai.exe 1856 "C:\Windows\SysWOW64\wbtxz.exe"
C:\Windows\SysWOW64\tgwpg.exe
C:\Windows\system32\tgwpg.exe 1832 "C:\Windows\SysWOW64\jrvai.exe"
C:\Windows\SysWOW64\gwrsp.exe
C:\Windows\system32\gwrsp.exe 1872 "C:\Windows\SysWOW64\tgwpg.exe"
C:\Windows\SysWOW64\svmux.exe
C:\Windows\system32\svmux.exe 1876 "C:\Windows\SysWOW64\gwrsp.exe"
C:\Windows\SysWOW64\cxbfl.exe
C:\Windows\system32\cxbfl.exe 1884 "C:\Windows\SysWOW64\svmux.exe"
C:\Windows\SysWOW64\qktvq.exe
C:\Windows\system32\qktvq.exe 1896 "C:\Windows\SysWOW64\cxbfl.exe"
C:\Windows\SysWOW64\zvifm.exe
C:\Windows\system32\zvifm.exe 1880 "C:\Windows\SysWOW64\qktvq.exe"
C:\Windows\SysWOW64\mlliu.exe
C:\Windows\system32\mlliu.exe 1888 "C:\Windows\SysWOW64\zvifm.exe"
C:\Windows\SysWOW64\zkgkd.exe
C:\Windows\system32\zkgkd.exe 1892 "C:\Windows\SysWOW64\mlliu.exe"
C:\Windows\SysWOW64\jmvvq.exe
C:\Windows\system32\jmvvq.exe 1900 "C:\Windows\SysWOW64\zkgkd.exe"
C:\Windows\SysWOW64\wobkb.exe
C:\Windows\system32\wobkb.exe 1904 "C:\Windows\SysWOW64\jmvvq.exe"
C:\Windows\SysWOW64\jfwns.exe
C:\Windows\system32\jfwns.exe 1912 "C:\Windows\SysWOW64\wobkb.exe"
C:\Windows\SysWOW64\wsndy.exe
C:\Windows\system32\wsndy.exe 1908 "C:\Windows\SysWOW64\jfwns.exe"
C:\Windows\SysWOW64\ggoso.exe
C:\Windows\system32\ggoso.exe 1920 "C:\Windows\SysWOW64\wsndy.exe"
C:\Windows\SysWOW64\swjvw.exe
C:\Windows\system32\swjvw.exe 1916 "C:\Windows\SysWOW64\ggoso.exe"
C:\Windows\SysWOW64\ddvsp.exe
C:\Windows\system32\ddvsp.exe 1928 "C:\Windows\SysWOW64\swjvw.exe"
C:\Windows\SysWOW64\quqvx.exe
C:\Windows\system32\quqvx.exe 1924 "C:\Windows\SysWOW64\ddvsp.exe"
C:\Windows\SysWOW64\cklyg.exe
C:\Windows\system32\cklyg.exe 1932 "C:\Windows\SysWOW64\quqvx.exe"
C:\Windows\SysWOW64\pjnap.exe
C:\Windows\system32\pjnap.exe 1936 "C:\Windows\SysWOW64\cklyg.exe"
C:\Windows\SysWOW64\aisyz.exe
C:\Windows\system32\aisyz.exe 1940 "C:\Windows\SysWOW64\pjnap.exe"
C:\Windows\SysWOW64\jwsvx.exe
C:\Windows\system32\jwsvx.exe 1944 "C:\Windows\SysWOW64\aisyz.exe"
C:\Windows\SysWOW64\wjkld.exe
C:\Windows\system32\wjkld.exe 1948 "C:\Windows\SysWOW64\jwsvx.exe"
C:\Windows\SysWOW64\guzvq.exe
C:\Windows\system32\guzvq.exe 1960 "C:\Windows\SysWOW64\wjkld.exe"
C:\Windows\SysWOW64\lhjlw.exe
C:\Windows\system32\lhjlw.exe 1952 "C:\Windows\SysWOW64\guzvq.exe"
C:\Windows\SysWOW64\vjgvj.exe
C:\Windows\system32\vjgvj.exe 1968 "C:\Windows\SysWOW64\lhjlw.exe"
C:\Windows\SysWOW64\iibya.exe
C:\Windows\system32\iibya.exe 1976 "C:\Windows\SysWOW64\vjgvj.exe"
C:\Windows\SysWOW64\vywbi.exe
C:\Windows\system32\vywbi.exe 1972 "C:\Windows\SysWOW64\iibya.exe"
C:\Windows\SysWOW64\fjllw.exe
C:\Windows\system32\fjllw.exe 1964 "C:\Windows\SysWOW64\vywbi.exe"
C:\Windows\SysWOW64\szooe.exe
C:\Windows\system32\szooe.exe 1956 "C:\Windows\SysWOW64\fjllw.exe"
C:\Windows\SysWOW64\ccdyz.exe
C:\Windows\system32\ccdyz.exe 1980 "C:\Windows\SysWOW64\szooe.exe"
C:\Windows\SysWOW64\oejgl.exe
C:\Windows\system32\oejgl.exe 1984 "C:\Windows\SysWOW64\ccdyz.exe"
C:\Windows\SysWOW64\buejt.exe
C:\Windows\system32\buejt.exe 1988 "C:\Windows\SysWOW64\oejgl.exe"
C:\Windows\SysWOW64\othlc.exe
C:\Windows\system32\othlc.exe 1992 "C:\Windows\SysWOW64\buejt.exe"
C:\Windows\SysWOW64\ywwwp.exe
C:\Windows\system32\ywwwp.exe 1996 "C:\Windows\SysWOW64\othlc.exe"
C:\Windows\SysWOW64\lrglv.exe
C:\Windows\system32\lrglv.exe 1868 "C:\Windows\SysWOW64\ywwwp.exe"
C:\Windows\SysWOW64\yhjoe.exe
C:\Windows\system32\yhjoe.exe 2000 "C:\Windows\SysWOW64\lrglv.exe"
C:\Windows\SysWOW64\ivblc.exe
C:\Windows\system32\ivblc.exe 2004 "C:\Windows\SysWOW64\yhjoe.exe"
C:\Windows\SysWOW64\vitbi.exe
C:\Windows\system32\vitbi.exe 2016 "C:\Windows\SysWOW64\ivblc.exe"
C:\Windows\SysWOW64\flilv.exe
C:\Windows\system32\flilv.exe 2012 "C:\Windows\SysWOW64\vitbi.exe"
C:\Windows\SysWOW64\sjlod.exe
C:\Windows\system32\sjlod.exe 2024 "C:\Windows\SysWOW64\flilv.exe"
C:\Windows\SysWOW64\fagrm.exe
C:\Windows\system32\fagrm.exe 2020 "C:\Windows\SysWOW64\sjlod.exe"
C:\Windows\SysWOW64\sybud.exe
C:\Windows\system32\sybud.exe 2036 "C:\Windows\SysWOW64\fagrm.exe"
C:\Windows\SysWOW64\cbqeq.exe
C:\Windows\system32\cbqeq.exe 2032 "C:\Windows\SysWOW64\sybud.exe"
C:\Windows\SysWOW64\pzthy.exe
C:\Windows\system32\pzthy.exe 2052 "C:\Windows\SysWOW64\cbqeq.exe"
C:\Windows\SysWOW64\ycirm.exe
C:\Windows\system32\ycirm.exe 2028 "C:\Windows\SysWOW64\pzthy.exe"
C:\Windows\SysWOW64\lsduc.exe
C:\Windows\system32\lsduc.exe 2040 "C:\Windows\SysWOW64\ycirm.exe"
C:\Windows\SysWOW64\yrgol.exe
C:\Windows\system32\yrgol.exe 2044 "C:\Windows\SysWOW64\lsduc.exe"
C:\Windows\SysWOW64\lhbrt.exe
C:\Windows\system32\lhbrt.exe 2060 "C:\Windows\SysWOW64\yrgol.exe"
C:\Windows\SysWOW64\vvboj.exe
C:\Windows\system32\vvboj.exe 2008 "C:\Windows\SysWOW64\lhbrt.exe"
C:\Windows\SysWOW64\imwrs.exe
C:\Windows\system32\imwrs.exe 2068 "C:\Windows\SysWOW64\vvboj.exe"
C:\Windows\SysWOW64\vhohy.exe
C:\Windows\system32\vhohy.exe 2064 "C:\Windows\SysWOW64\imwrs.exe"
C:\Windows\SysWOW64\fkdrt.exe
C:\Windows\system32\fkdrt.exe 2084 "C:\Windows\SysWOW64\vhohy.exe"
C:\Windows\SysWOW64\sayuc.exe
C:\Windows\system32\sayuc.exe 2072 "C:\Windows\SysWOW64\fkdrt.exe"
C:\Windows\SysWOW64\clnep.exe
C:\Windows\system32\clnep.exe 2056 "C:\Windows\SysWOW64\sayuc.exe"
C:\Windows\SysWOW64\obqhy.exe
C:\Windows\system32\obqhy.exe 2076 "C:\Windows\SysWOW64\clnep.exe"
C:\Windows\SysWOW64\tojpr.exe
C:\Windows\system32\tojpr.exe 2088 "C:\Windows\SysWOW64\obqhy.exe"
C:\Windows\SysWOW64\mzphz.exe
C:\Windows\system32\mzphz.exe 2092 "C:\Windows\SysWOW64\tojpr.exe"
C:\Windows\SysWOW64\vjmsm.exe
C:\Windows\system32\vjmsm.exe 2096 "C:\Windows\SysWOW64\mzphz.exe"
C:\Windows\SysWOW64\idshx.exe
C:\Windows\system32\idshx.exe 2108 "C:\Windows\SysWOW64\vjmsm.exe"
C:\Windows\SysWOW64\vcncg.exe
C:\Windows\system32\vcncg.exe 2100 "C:\Windows\SysWOW64\idshx.exe"
C:\Windows\SysWOW64\ipfam.exe
C:\Windows\system32\ipfam.exe 2080 "C:\Windows\SysWOW64\vcncg.exe"
C:\Windows\SysWOW64\sdxpk.exe
C:\Windows\system32\sdxpk.exe 2112 "C:\Windows\SysWOW64\ipfam.exe"
C:\Windows\SysWOW64\fqpfp.exe
C:\Windows\system32\fqpfp.exe 2120 "C:\Windows\SysWOW64\sdxpk.exe"
C:\Windows\SysWOW64\ptepd.exe
C:\Windows\system32\ptepd.exe 2116 "C:\Windows\SysWOW64\fqpfp.exe"
C:\Windows\SysWOW64\cgwni.exe
C:\Windows\system32\cgwni.exe 2124 "C:\Windows\SysWOW64\ptepd.exe"
C:\Windows\SysWOW64\muwcg.exe
C:\Windows\system32\muwcg.exe 2128 "C:\Windows\SysWOW64\cgwni.exe"
C:\Windows\SysWOW64\zkrfp.exe
C:\Windows\system32\zkrfp.exe 2136 "C:\Windows\SysWOW64\muwcg.exe"
C:\Windows\SysWOW64\mfjvv.exe
C:\Windows\system32\mfjvv.exe 2104 "C:\Windows\SysWOW64\zkrfp.exe"
C:\Windows\SysWOW64\wiyfi.exe
C:\Windows\system32\wiyfi.exe 2144 "C:\Windows\SysWOW64\mfjvv.exe"
C:\Windows\SysWOW64\jgtir.exe
C:\Windows\system32\jgtir.exe 2148 "C:\Windows\SysWOW64\wiyfi.exe"
C:\Windows\SysWOW64\sjism.exe
C:\Windows\system32\sjism.exe 2132 "C:\Windows\SysWOW64\jgtir.exe"
C:\Windows\SysWOW64\xzlvv.exe
C:\Windows\system32\xzlvv.exe 2152 "C:\Windows\SysWOW64\sjism.exe"
C:\Windows\SysWOW64\kygxd.exe
C:\Windows\system32\kygxd.exe 2140 "C:\Windows\SysWOW64\xzlvv.exe"
C:\Windows\SysWOW64\xobam.exe
C:\Windows\system32\xobam.exe 2160 "C:\Windows\SysWOW64\kygxd.exe"
C:\Windows\SysWOW64\hcbpc.exe
C:\Windows\system32\hcbpc.exe 2168 "C:\Windows\SysWOW64\xobam.exe"
C:\Windows\SysWOW64\xhkkg.exe
C:\Windows\system32\xhkkg.exe 2164 "C:\Windows\SysWOW64\hcbpc.exe"
C:\Windows\SysWOW64\hooqy.exe
C:\Windows\system32\hooqy.exe 2180 "C:\Windows\SysWOW64\xhkkg.exe"
C:\Windows\SysWOW64\ruofo.exe
C:\Windows\system32\ruofo.exe 2172 "C:\Windows\SysWOW64\hooqy.exe"
C:\Windows\SysWOW64\dsjix.exe
C:\Windows\system32\dsjix.exe 2192 "C:\Windows\SysWOW64\ruofo.exe"
C:\Windows\SysWOW64\qjmlf.exe
C:\Windows\system32\qjmlf.exe 2176 "C:\Windows\SysWOW64\dsjix.exe"
C:\Windows\SysWOW64\dhhno.exe
C:\Windows\system32\dhhno.exe 2184 "C:\Windows\SysWOW64\qjmlf.exe"
C:\Windows\SysWOW64\qycqx.exe
C:\Windows\system32\qycqx.exe 2188 "C:\Windows\SysWOW64\dhhno.exe"
C:\Windows\SysWOW64\amcnv.exe
C:\Windows\system32\amcnv.exe 2208 "C:\Windows\SysWOW64\qycqx.exe"
C:\Windows\SysWOW64\ndxqd.exe
C:\Windows\system32\ndxqd.exe 2200 "C:\Windows\SysWOW64\amcnv.exe"
C:\Windows\SysWOW64\abalm.exe
C:\Windows\system32\abalm.exe 2156 "C:\Windows\SysWOW64\ndxqd.exe"
C:\Windows\SysWOW64\nsvnu.exe
C:\Windows\system32\nsvnu.exe 2196 "C:\Windows\SysWOW64\abalm.exe"
C:\Windows\SysWOW64\xukyq.exe
C:\Windows\system32\xukyq.exe 2216 "C:\Windows\SysWOW64\nsvnu.exe"
C:\Windows\SysWOW64\jtnby.exe
C:\Windows\system32\jtnby.exe 2220 "C:\Windows\SysWOW64\xukyq.exe"
C:\Windows\SysWOW64\xgwqe.exe
C:\Windows\system32\xgwqe.exe 2224 "C:\Windows\SysWOW64\jtnby.exe"
C:\Windows\SysWOW64\guxou.exe
C:\Windows\system32\guxou.exe 2212 "C:\Windows\SysWOW64\xgwqe.exe"
C:\Windows\SysWOW64\thpda.exe
C:\Windows\system32\thpda.exe 2228 "C:\Windows\SysWOW64\guxou.exe"
C:\Windows\SysWOW64\gxjgj.exe
C:\Windows\system32\gxjgj.exe 2232 "C:\Windows\SysWOW64\thpda.exe"
C:\Windows\SysWOW64\qizqe.exe
C:\Windows\system32\qizqe.exe 2236 "C:\Windows\SysWOW64\gxjgj.exe"
C:\Windows\SysWOW64\akobr.exe
C:\Windows\system32\akobr.exe 2204 "C:\Windows\SysWOW64\qizqe.exe"
C:\Windows\SysWOW64\nfgqx.exe
C:\Windows\system32\nfgqx.exe 2244 "C:\Windows\SysWOW64\akobr.exe"
C:\Windows\SysWOW64\awbtf.exe
C:\Windows\system32\awbtf.exe 2248 "C:\Windows\SysWOW64\nfgqx.exe"
C:\Windows\SysWOW64\kyqeb.exe
C:\Windows\system32\kyqeb.exe 2252 "C:\Windows\SysWOW64\awbtf.exe"
C:\Windows\SysWOW64\ujnoo.exe
C:\Windows\system32\ujnoo.exe 2240 "C:\Windows\SysWOW64\kyqeb.exe"
C:\Windows\SysWOW64\hairw.exe
C:\Windows\system32\hairw.exe 2260 "C:\Windows\SysWOW64\ujnoo.exe"
C:\Windows\SysWOW64\uydtf.exe
C:\Windows\system32\uydtf.exe 2264 "C:\Windows\SysWOW64\hairw.exe"
C:\Windows\SysWOW64\hpgwo.exe
C:\Windows\system32\hpgwo.exe 2268 "C:\Windows\SysWOW64\uydtf.exe"
C:\Windows\SysWOW64\unbzw.exe
C:\Windows\system32\unbzw.exe 2272 "C:\Windows\SysWOW64\hpgwo.exe"
C:\Windows\SysWOW64\dtbou.exe
C:\Windows\system32\dtbou.exe 2280 "C:\Windows\SysWOW64\unbzw.exe"
C:\Windows\SysWOW64\qglea.exe
C:\Windows\system32\qglea.exe 2276 "C:\Windows\SysWOW64\dtbou.exe"
C:\Windows\SysWOW64\arion.exe
C:\Windows\system32\arion.exe 2284 "C:\Windows\SysWOW64\qglea.exe"
C:\Windows\SysWOW64\nesmt.exe
C:\Windows\system32\nesmt.exe 2256 "C:\Windows\SysWOW64\arion.exe"
C:\Windows\SysWOW64\xohoo.exe
C:\Windows\system32\xohoo.exe 2292 "C:\Windows\SysWOW64\nesmt.exe"
C:\Windows\SysWOW64\kfkrx.exe
C:\Windows\system32\kfkrx.exe 2288 "C:\Windows\SysWOW64\xohoo.exe"
C:\Windows\SysWOW64\xvfug.exe
C:\Windows\system32\xvfug.exe 2300 "C:\Windows\SysWOW64\kfkrx.exe"
C:\Windows\SysWOW64\hjfrw.exe
C:\Windows\system32\hjfrw.exe 2304 "C:\Windows\SysWOW64\xvfug.exe"
C:\Windows\SysWOW64\uwphb.exe
C:\Windows\system32\uwphb.exe 2312 "C:\Windows\SysWOW64\hjfrw.exe"
C:\Windows\SysWOW64\hvsjk.exe
C:\Windows\system32\hvsjk.exe 2308 "C:\Windows\SysWOW64\uwphb.exe"
C:\Windows\SysWOW64\rjshi.exe
C:\Windows\system32\rjshi.exe 2316 "C:\Windows\SysWOW64\hvsjk.exe"
C:\Windows\SysWOW64\ewcxo.exe
C:\Windows\system32\ewcxo.exe 2320 "C:\Windows\SysWOW64\rjshi.exe"
C:\Windows\SysWOW64\ozrhb.exe
C:\Windows\system32\ozrhb.exe 2324 "C:\Windows\SysWOW64\ewcxo.exe"
C:\Windows\SysWOW64\bxukk.exe
C:\Windows\system32\bxukk.exe 2328 "C:\Windows\SysWOW64\ozrhb.exe"
C:\Windows\SysWOW64\nrard.exe
C:\Windows\system32\nrard.exe 2336 "C:\Windows\SysWOW64\bxukk.exe"
C:\Windows\SysWOW64\aekpj.exe
C:\Windows\system32\aekpj.exe 2344 "C:\Windows\SysWOW64\nrard.exe"
C:\Windows\SysWOW64\kskez.exe
C:\Windows\system32\kskez.exe 2332 "C:\Windows\SysWOW64\aekpj.exe"
C:\Windows\SysWOW64\prnhi.exe
C:\Windows\system32\prnhi.exe 2356 "C:\Windows\SysWOW64\kskez.exe"
C:\Windows\SysWOW64\chikq.exe
C:\Windows\system32\chikq.exe 2340 "C:\Windows\SysWOW64\prnhi.exe"
C:\Windows\SysWOW64\pydmz.exe
C:\Windows\system32\pydmz.exe 2352 "C:\Windows\SysWOW64\chikq.exe"
C:\Windows\SysWOW64\zisxu.exe
C:\Windows\system32\zisxu.exe 2364 "C:\Windows\SysWOW64\pydmz.exe"
C:\Windows\SysWOW64\lkymf.exe
C:\Windows\system32\lkymf.exe 2348 "C:\Windows\SysWOW64\zisxu.exe"
C:\Windows\SysWOW64\yxqcl.exe
C:\Windows\system32\yxqcl.exe 2360 "C:\Windows\SysWOW64\lkymf.exe"
C:\Windows\SysWOW64\iafny.exe
C:\Windows\system32\iafny.exe 2296 "C:\Windows\SysWOW64\yxqcl.exe"
C:\Windows\SysWOW64\tzrkr.exe
C:\Windows\system32\tzrkr.exe 2376 "C:\Windows\SysWOW64\iafny.exe"
C:\Windows\SysWOW64\gubax.exe
C:\Windows\system32\gubax.exe 2372 "C:\Windows\SysWOW64\tzrkr.exe"
C:\Windows\SysWOW64\sohpi.exe
C:\Windows\system32\sohpi.exe 2392 "C:\Windows\SysWOW64\gubax.exe"
C:\Windows\SysWOW64\fmksr.exe
C:\Windows\system32\fmksr.exe 2388 "C:\Windows\SysWOW64\sohpi.exe"
C:\Windows\SysWOW64\ppzce.exe
C:\Windows\system32\ppzce.exe 2380 "C:\Windows\SysWOW64\fmksr.exe"
C:\Windows\SysWOW64\couxm.exe
C:\Windows\system32\couxm.exe 2396 "C:\Windows\SysWOW64\ppzce.exe"
C:\Windows\SysWOW64\mqjii.exe
C:\Windows\system32\mqjii.exe 2400 "C:\Windows\SysWOW64\couxm.exe"
C:\Windows\SysWOW64\zhmkq.exe
C:\Windows\system32\zhmkq.exe 2404 "C:\Windows\SysWOW64\mqjii.exe"
C:\Windows\SysWOW64\jrbvd.exe
C:\Windows\system32\jrbvd.exe 2416 "C:\Windows\SysWOW64\zhmkq.exe"
C:\Windows\SysWOW64\welkj.exe
C:\Windows\system32\welkj.exe 2384 "C:\Windows\SysWOW64\jrbvd.exe"
C:\Windows\SysWOW64\gdxqc.exe
C:\Windows\system32\gdxqc.exe 2412 "C:\Windows\SysWOW64\welkj.exe"
C:\Windows\SysWOW64\tcssk.exe
C:\Windows\system32\tcssk.exe 2424 "C:\Windows\SysWOW64\gdxqc.exe"
C:\Windows\SysWOW64\dqsia.exe
C:\Windows\system32\dqsia.exe 2408 "C:\Windows\SysWOW64\tcssk.exe"
C:\Windows\SysWOW64\qgnlj.exe
C:\Windows\system32\qgnlj.exe 2420 "C:\Windows\SysWOW64\dqsia.exe"
C:\Windows\SysWOW64\cxqns.exe
C:\Windows\system32\cxqns.exe 2432 "C:\Windows\SysWOW64\qgnlj.exe"
C:\Windows\SysWOW64\mhfyn.exe
C:\Windows\system32\mhfyn.exe 2428 "C:\Windows\SysWOW64\cxqns.exe"
C:\Windows\SysWOW64\zyaav.exe
C:\Windows\system32\zyaav.exe 2448 "C:\Windows\SysWOW64\mhfyn.exe"
C:\Windows\SysWOW64\magqh.exe
C:\Windows\system32\magqh.exe 2436 "C:\Windows\SysWOW64\zyaav.exe"
C:\Windows\SysWOW64\znygn.exe
C:\Windows\system32\znygn.exe 2440 "C:\Windows\SysWOW64\magqh.exe"
C:\Windows\SysWOW64\mpeny.exe
C:\Windows\system32\mpeny.exe 2444 "C:\Windows\SysWOW64\znygn.exe"
C:\Windows\SysWOW64\wstyt.exe
C:\Windows\system32\wstyt.exe 2452 "C:\Windows\SysWOW64\mpeny.exe"
C:\Windows\SysWOW64\jflnz.exe
C:\Windows\system32\jflnz.exe 2456 "C:\Windows\SysWOW64\wstyt.exe"
C:\Windows\SysWOW64\wdgqi.exe
C:\Windows\system32\wdgqi.exe 2472 "C:\Windows\SysWOW64\jflnz.exe"
C:\Windows\SysWOW64\frgny.exe
C:\Windows\system32\frgny.exe 2460 "C:\Windows\SysWOW64\wdgqi.exe"
C:\Windows\SysWOW64\teqdd.exe
C:\Windows\system32\teqdd.exe 2480 "C:\Windows\SysWOW64\frgny.exe"
C:\Windows\SysWOW64\fvtgm.exe
C:\Windows\system32\fvtgm.exe 2464 "C:\Windows\SysWOW64\teqdd.exe"
C:\Windows\SysWOW64\pjtdk.exe
C:\Windows\system32\pjtdk.exe 2476 "C:\Windows\SysWOW64\fvtgm.exe"
C:\Windows\SysWOW64\czogt.exe
C:\Windows\system32\czogt.exe 2368 "C:\Windows\SysWOW64\pjtdk.exe"
C:\Windows\SysWOW64\pmgwz.exe
C:\Windows\system32\pmgwz.exe 2496 "C:\Windows\SysWOW64\czogt.exe"
C:\Windows\SysWOW64\zaytp.exe
C:\Windows\system32\zaytp.exe 2484 "C:\Windows\SysWOW64\pmgwz.exe"
C:\Windows\SysWOW64\mnqju.exe
C:\Windows\system32\mnqju.exe 2488 "C:\Windows\SysWOW64\zaytp.exe"
C:\Windows\SysWOW64\zmlld.exe
C:\Windows\system32\zmlld.exe 2492 "C:\Windows\SysWOW64\mnqju.exe"
C:\Windows\SysWOW64\jalbb.exe
C:\Windows\system32\jalbb.exe 2500 "C:\Windows\SysWOW64\zmlld.exe"
C:\Windows\SysWOW64\wndzh.exe
C:\Windows\system32\wndzh.exe 2504 "C:\Windows\SysWOW64\jalbb.exe"
C:\Windows\SysWOW64\jdytp.exe
C:\Windows\system32\jdytp.exe 2512 "C:\Windows\SysWOW64\wndzh.exe"
C:\Windows\SysWOW64\sryrf.exe
C:\Windows\system32\sryrf.exe 2508 "C:\Windows\SysWOW64\jdytp.exe"
C:\Windows\SysWOW64\feqgt.exe
C:\Windows\system32\feqgt.exe 2520 "C:\Windows\SysWOW64\sryrf.exe"
C:\Windows\SysWOW64\svljc.exe
C:\Windows\system32\svljc.exe 2516 "C:\Windows\SysWOW64\feqgt.exe"
C:\Windows\SysWOW64\cjlgs.exe
C:\Windows\system32\cjlgs.exe 2524 "C:\Windows\SysWOW64\svljc.exe"
C:\Windows\SysWOW64\pigja.exe
C:\Windows\system32\pigja.exe 2468 "C:\Windows\SysWOW64\cjlgs.exe"
C:\Windows\SysWOW64\cvyzg.exe
C:\Windows\system32\cvyzg.exe 2536 "C:\Windows\SysWOW64\pigja.exe"
C:\Windows\SysWOW64\ebywe.exe
C:\Windows\system32\ebywe.exe 2532 "C:\Windows\SysWOW64\cvyzg.exe"
C:\Windows\SysWOW64\rztzn.exe
C:\Windows\system32\rztzn.exe 2540 "C:\Windows\SysWOW64\ebywe.exe"
C:\Windows\SysWOW64\eqouw.exe
C:\Windows\system32\eqouw.exe 2548 "C:\Windows\SysWOW64\rztzn.exe"
C:\Windows\SysWOW64\qorwe.exe
C:\Windows\system32\qorwe.exe 2528 "C:\Windows\SysWOW64\eqouw.exe"
C:\Windows\SysWOW64\dflzn.exe
C:\Windows\system32\dflzn.exe 2552 "C:\Windows\SysWOW64\qorwe.exe"
C:\Windows\SysWOW64\npbja.exe
C:\Windows\system32\npbja.exe 2560 "C:\Windows\SysWOW64\dflzn.exe"
C:\Windows\SysWOW64\xsquv.exe
C:\Windows\system32\xsquv.exe 2564 "C:\Windows\SysWOW64\npbja.exe"
C:\Windows\SysWOW64\nwypz.exe
C:\Windows\system32\nwypz.exe 2568 "C:\Windows\SysWOW64\xsquv.exe"
C:\Windows\SysWOW64\xkzmp.exe
C:\Windows\system32\xkzmp.exe 2572 "C:\Windows\SysWOW64\nwypz.exe"
C:\Windows\SysWOW64\kxjcv.exe
C:\Windows\system32\kxjcv.exe 2556 "C:\Windows\SysWOW64\xkzmp.exe"
C:\Windows\SysWOW64\xwlee.exe
C:\Windows\system32\xwlee.exe 2580 "C:\Windows\SysWOW64\kxjcv.exe"
C:\Windows\SysWOW64\hybpz.exe
C:\Windows\system32\hybpz.exe 2592 "C:\Windows\SysWOW64\xwlee.exe"
C:\Windows\SysWOW64\uxwsh.exe
C:\Windows\system32\uxwsh.exe 2576 "C:\Windows\SysWOW64\hybpz.exe"
C:\Windows\SysWOW64\hnquq.exe
C:\Windows\system32\hnquq.exe 2584 "C:\Windows\SysWOW64\uxwsh.exe"
C:\Windows\SysWOW64\qbrkg.exe
C:\Windows\system32\qbrkg.exe 2588 "C:\Windows\SysWOW64\hnquq.exe"
C:\Windows\SysWOW64\dojzm.exe
C:\Windows\system32\dojzm.exe 2596 "C:\Windows\SysWOW64\qbrkg.exe"
C:\Windows\SysWOW64\qqppx.exe
C:\Windows\system32\qqppx.exe 2600 "C:\Windows\SysWOW64\dojzm.exe"
C:\Windows\SysWOW64\aqtmq.exe
C:\Windows\system32\aqtmq.exe 2604 "C:\Windows\SysWOW64\qqppx.exe"
C:\Windows\SysWOW64\nszcb.exe
C:\Windows\system32\nszcb.exe 2608 "C:\Windows\SysWOW64\aqtmq.exe"
C:\Windows\SysWOW64\afqsh.exe
C:\Windows\system32\afqsh.exe 2620 "C:\Windows\SysWOW64\nszcb.exe"
C:\Windows\SysWOW64\khgcu.exe
C:\Windows\system32\khgcu.exe 2612 "C:\Windows\SysWOW64\afqsh.exe"
C:\Windows\SysWOW64\usvnp.exe
C:\Windows\system32\usvnp.exe 2624 "C:\Windows\SysWOW64\khgcu.exe"
C:\Windows\SysWOW64\hiypy.exe
C:\Windows\system32\hiypy.exe 2628 "C:\Windows\SysWOW64\usvnp.exe"
C:\Windows\SysWOW64\uvife.exe
C:\Windows\system32\uvife.exe 2632 "C:\Windows\SysWOW64\hiypy.exe"
C:\Windows\SysWOW64\djicu.exe
C:\Windows\system32\djicu.exe 2616 "C:\Windows\SysWOW64\uvife.exe"
C:\Windows\SysWOW64\rwasa.exe
C:\Windows\system32\rwasa.exe 2636 "C:\Windows\SysWOW64\djicu.exe"
C:\Windows\SysWOW64\dygil.exe
C:\Windows\system32\dygil.exe 2640 "C:\Windows\SysWOW64\rwasa.exe"
C:\Windows\SysWOW64\qpbkc.exe
C:\Windows\system32\qpbkc.exe 2644 "C:\Windows\SysWOW64\dygil.exe"
C:\Windows\SysWOW64\dndfk.exe
C:\Windows\system32\dndfk.exe 2648 "C:\Windows\SysWOW64\qpbkc.exe"
C:\Windows\SysWOW64\nqtpx.exe
C:\Windows\system32\nqtpx.exe 2656 "C:\Windows\SysWOW64\dndfk.exe"
C:\Windows\SysWOW64\aoosg.exe
C:\Windows\system32\aoosg.exe 2660 "C:\Windows\SysWOW64\nqtpx.exe"
C:\Windows\SysWOW64\krddb.exe
C:\Windows\system32\krddb.exe 2652 "C:\Windows\SysWOW64\aoosg.exe"
C:\Windows\SysWOW64\xevsh.exe
C:\Windows\system32\xevsh.exe 2664 "C:\Windows\SysWOW64\krddb.exe"
C:\Windows\SysWOW64\hdzyr.exe
C:\Windows\system32\hdzyr.exe 2672 "C:\Windows\SysWOW64\xevsh.exe"
C:\Windows\SysWOW64\rrzni.exe
C:\Windows\system32\rrzni.exe 2668 "C:\Windows\SysWOW64\hdzyr.exe"
C:\Windows\SysWOW64\heiil.exe
C:\Windows\system32\heiil.exe 2680 "C:\Windows\SysWOW64\rrzni.exe"
C:\Windows\SysWOW64\qkafk.exe
C:\Windows\system32\qkafk.exe 2676 "C:\Windows\SysWOW64\heiil.exe"
C:\Windows\SysWOW64\exsvp.exe
C:\Windows\system32\exsvp.exe 2684 "C:\Windows\SysWOW64\qkafk.exe"
C:\Windows\SysWOW64\nhhfd.exe
C:\Windows\system32\nhhfd.exe 2688 "C:\Windows\SysWOW64\exsvp.exe"
C:\Windows\SysWOW64\aykil.exe
C:\Windows\system32\aykil.exe 2700 "C:\Windows\SysWOW64\nhhfd.exe"
C:\Windows\SysWOW64\naqqx.exe
C:\Windows\system32\naqqx.exe 2692 "C:\Windows\SysWOW64\aykil.exe"
C:\Windows\SysWOW64\anaoc.exe
C:\Windows\system32\anaoc.exe 2696 "C:\Windows\SysWOW64\naqqx.exe"
C:\Windows\SysWOW64\kbada.exe
C:\Windows\system32\kbada.exe 2704 "C:\Windows\SysWOW64\anaoc.exe"
C:\Windows\SysWOW64\xrvgj.exe
C:\Windows\system32\xrvgj.exe 2708 "C:\Windows\SysWOW64\kbada.exe"
C:\Windows\SysWOW64\kqyis.exe
C:\Windows\system32\kqyis.exe 2544 "C:\Windows\SysWOW64\xrvgj.exe"
C:\Windows\SysWOW64\xgtla.exe
C:\Windows\system32\xgtla.exe 2724 "C:\Windows\SysWOW64\kqyis.exe"
C:\Windows\SysWOW64\grivn.exe
C:\Windows\system32\grivn.exe 2720 "C:\Windows\SysWOW64\xgtla.exe"
C:\Windows\SysWOW64\uezlb.exe
C:\Windows\system32\uezlb.exe 2716 "C:\Windows\SysWOW64\grivn.exe"
C:\Windows\SysWOW64\dsair.exe
C:\Windows\system32\dsair.exe 2728 "C:\Windows\SysWOW64\uezlb.exe"
C:\Windows\SysWOW64\iivla.exe
C:\Windows\system32\iivla.exe 2736 "C:\Windows\SysWOW64\dsair.exe"
C:\Windows\SysWOW64\vzqoi.exe
C:\Windows\system32\vzqoi.exe 2732 "C:\Windows\SysWOW64\iivla.exe"
C:\Windows\SysWOW64\ixtrr.exe
C:\Windows\system32\ixtrr.exe 2752 "C:\Windows\SysWOW64\vzqoi.exe"
C:\Windows\SysWOW64\vrzyd.exe
C:\Windows\system32\vrzyd.exe 2740 "C:\Windows\SysWOW64\ixtrr.exe"
C:\Windows\SysWOW64\fcojy.exe
C:\Windows\system32\fcojy.exe 2744 "C:\Windows\SysWOW64\vrzyd.exe"
C:\Windows\SysWOW64\rtjlg.exe
C:\Windows\system32\rtjlg.exe 2748 "C:\Windows\SysWOW64\fcojy.exe"
C:\Windows\SysWOW64\ermop.exe
C:\Windows\system32\ermop.exe 2760 "C:\Windows\SysWOW64\rtjlg.exe"
C:\Windows\SysWOW64\oubyc.exe
C:\Windows\system32\oubyc.exe 2756 "C:\Windows\SysWOW64\ermop.exe"
C:\Windows\SysWOW64\bswbl.exe
C:\Windows\system32\bswbl.exe 2776 "C:\Windows\SysWOW64\oubyc.exe"
C:\Windows\SysWOW64\ojreb.exe
C:\Windows\system32\ojreb.exe 2712 "C:\Windows\SysWOW64\bswbl.exe"
C:\Windows\SysWOW64\ytoop.exe
C:\Windows\system32\ytoop.exe 2772 "C:\Windows\SysWOW64\ojreb.exe"
C:\Windows\SysWOW64\lkjrx.exe
C:\Windows\system32\lkjrx.exe 2764 "C:\Windows\SysWOW64\ytoop.exe"
C:\Windows\SysWOW64\yaeug.exe
C:\Windows\system32\yaeug.exe 2768 "C:\Windows\SysWOW64\lkjrx.exe"
C:\Windows\SysWOW64\lzgwo.exe
C:\Windows\system32\lzgwo.exe 2796 "C:\Windows\SysWOW64\yaeug.exe"
C:\Windows\SysWOW64\vbwzk.exe
C:\Windows\system32\vbwzk.exe 2788 "C:\Windows\SysWOW64\lzgwo.exe"
C:\Windows\SysWOW64\iarbs.exe
C:\Windows\system32\iarbs.exe 2780 "C:\Windows\SysWOW64\vbwzk.exe"
C:\Windows\SysWOW64\uqleb.exe
C:\Windows\system32\uqleb.exe 2792 "C:\Windows\SysWOW64\iarbs.exe"
C:\Windows\SysWOW64\hpohj.exe
C:\Windows\system32\hpohj.exe 2812 "C:\Windows\SysWOW64\uqleb.exe"
C:\Windows\SysWOW64\roseu.exe
C:\Windows\system32\roseu.exe 2800 "C:\Windows\SysWOW64\hpohj.exe"
C:\Windows\SysWOW64\bctbs.exe
C:\Windows\system32\bctbs.exe 2816 "C:\Windows\SysWOW64\roseu.exe"
C:\Windows\SysWOW64\otoeb.exe
C:\Windows\system32\otoeb.exe 2804 "C:\Windows\SysWOW64\bctbs.exe"
C:\Windows\SysWOW64\bjrhj.exe
C:\Windows\system32\bjrhj.exe 2808 "C:\Windows\SysWOW64\otoeb.exe"
C:\Windows\SysWOW64\ohlks.exe
C:\Windows\system32\ohlks.exe 2824 "C:\Windows\SysWOW64\bjrhj.exe"
C:\Windows\SysWOW64\ykbuf.exe
C:\Windows\system32\ykbuf.exe 2820 "C:\Windows\SysWOW64\ohlks.exe"
C:\Windows\SysWOW64\lxskl.exe
C:\Windows\system32\lxskl.exe 2832 "C:\Windows\SysWOW64\ykbuf.exe"
C:\Windows\SysWOW64\viiug.exe
C:\Windows\system32\viiug.exe 2836 "C:\Windows\SysWOW64\lxskl.exe"
C:\Windows\SysWOW64\hkocr.exe
C:\Windows\system32\hkocr.exe 2844 "C:\Windows\SysWOW64\viiug.exe"
C:\Windows\SysWOW64\vxfzx.exe
C:\Windows\system32\vxfzx.exe 2828 "C:\Windows\SysWOW64\hkocr.exe"
C:\Windows\SysWOW64\fwjxi.exe
C:\Windows\system32\fwjxi.exe 2840 "C:\Windows\SysWOW64\vxfzx.exe"
C:\Windows\SysWOW64\rypet.exe
C:\Windows\system32\rypet.exe 2848 "C:\Windows\SysWOW64\fwjxi.exe"
C:\Windows\SysWOW64\bafpo.exe
C:\Windows\system32\bafpo.exe 2860 "C:\Windows\SysWOW64\rypet.exe"
C:\Windows\SysWOW64\rnnks.exe
C:\Windows\system32\rnnks.exe 2852 "C:\Windows\SysWOW64\bafpo.exe"
C:\Windows\SysWOW64\bpcuf.exe
C:\Windows\system32\bpcuf.exe 2864 "C:\Windows\SysWOW64\rnnks.exe"
C:\Windows\SysWOW64\orjkr.exe
C:\Windows\system32\orjkr.exe 2872 "C:\Windows\SysWOW64\bpcuf.exe"
C:\Windows\SysWOW64\bidnz.exe
C:\Windows\system32\bidnz.exe 2868 "C:\Windows\SysWOW64\orjkr.exe"
C:\Windows\SysWOW64\oygpi.exe
C:\Windows\system32\oygpi.exe 2856 "C:\Windows\SysWOW64\bidnz.exe"
C:\Windows\SysWOW64\bxbsr.exe
C:\Windows\system32\bxbsr.exe 2876 "C:\Windows\SysWOW64\oygpi.exe"
C:\Windows\SysWOW64\klchp.exe
C:\Windows\system32\klchp.exe 2880 "C:\Windows\SysWOW64\bxbsr.exe"
C:\Windows\SysWOW64\ukgnz.exe
C:\Windows\system32\ukgnz.exe 2884 "C:\Windows\SysWOW64\klchp.exe"
C:\Windows\SysWOW64\hbbhi.exe
C:\Windows\system32\hbbhi.exe 2888 "C:\Windows\SysWOW64\ukgnz.exe"
C:\Windows\SysWOW64\uzdkq.exe
C:\Windows\system32\uzdkq.exe 2892 "C:\Windows\SysWOW64\hbbhi.exe"
C:\Windows\SysWOW64\ectvm.exe
C:\Windows\system32\ectvm.exe 2896 "C:\Windows\SysWOW64\uzdkq.exe"
C:\Windows\SysWOW64\rpkkr.exe
C:\Windows\system32\rpkkr.exe 2908 "C:\Windows\SysWOW64\ectvm.exe"
C:\Windows\SysWOW64\bzavf.exe
C:\Windows\system32\bzavf.exe 2900 "C:\Windows\SysWOW64\rpkkr.exe"
C:\Windows\SysWOW64\omjsk.exe
C:\Windows\system32\omjsk.exe 2920 "C:\Windows\SysWOW64\bzavf.exe"
C:\Windows\SysWOW64\yakii.exe
C:\Windows\system32\yakii.exe 2912 "C:\Windows\SysWOW64\omjsk.exe"
C:\Windows\SysWOW64\lnbxo.exe
C:\Windows\system32\lnbxo.exe 2924 "C:\Windows\SysWOW64\yakii.exe"
C:\Windows\SysWOW64\yphna.exe
C:\Windows\system32\yphna.exe 2784 "C:\Windows\SysWOW64\lnbxo.exe"
C:\Windows\SysWOW64\dgcqi.exe
C:\Windows\system32\dgcqi.exe 2936 "C:\Windows\SysWOW64\yphna.exe"
C:\Windows\SysWOW64\qwfsr.exe
C:\Windows\system32\qwfsr.exe 2916 "C:\Windows\SysWOW64\dgcqi.exe"
C:\Windows\SysWOW64\ahudm.exe
C:\Windows\system32\ahudm.exe 2932 "C:\Windows\SysWOW64\qwfsr.exe"
C:\Windows\SysWOW64\jjknz.exe
C:\Windows\system32\jjknz.exe 2928 "C:\Windows\SysWOW64\ahudm.exe"
C:\Windows\SysWOW64\wifqi.exe
C:\Windows\system32\wifqi.exe 2948 "C:\Windows\SysWOW64\jjknz.exe"
C:\Windows\SysWOW64\jvwgo.exe
C:\Windows\system32\jvwgo.exe 2904 "C:\Windows\SysWOW64\wifqi.exe"
C:\Windows\SysWOW64\tymqb.exe
C:\Windows\system32\tymqb.exe 2940 "C:\Windows\SysWOW64\jvwgo.exe"
C:\Windows\SysWOW64\dibaw.exe
C:\Windows\system32\dibaw.exe 2944 "C:\Windows\SysWOW64\tymqb.exe"
C:\Windows\SysWOW64\qvsqc.exe
C:\Windows\system32\qvsqc.exe 2960 "C:\Windows\SysWOW64\dibaw.exe"
C:\Windows\SysWOW64\agibp.exe
C:\Windows\system32\agibp.exe 2964 "C:\Windows\SysWOW64\qvsqc.exe"
C:\Windows\SysWOW64\naoib.exe
C:\Windows\system32\naoib.exe 2956 "C:\Windows\SysWOW64\agibp.exe"
C:\Windows\SysWOW64\ayjlj.exe
C:\Windows\system32\ayjlj.exe 2968 "C:\Windows\SysWOW64\naoib.exe"
C:\Windows\SysWOW64\kxvqc.exe
C:\Windows\system32\kxvqc.exe 2984 "C:\Windows\SysWOW64\ayjlj.exe"
C:\Windows\SysWOW64\xoqlk.exe
C:\Windows\system32\xoqlk.exe 2976 "C:\Windows\SysWOW64\kxvqc.exe"
C:\Windows\SysWOW64\kmkot.exe
C:\Windows\system32\kmkot.exe 2980 "C:\Windows\SysWOW64\xoqlk.exe"
C:\Windows\SysWOW64\xdnqb.exe
C:\Windows\system32\xdnqb.exe 2972 "C:\Windows\SysWOW64\kmkot.exe"
C:\Windows\SysWOW64\hndbx.exe
C:\Windows\system32\hndbx.exe 2992 "C:\Windows\SysWOW64\xdnqb.exe"
C:\Windows\SysWOW64\rqslk.exe
C:\Windows\system32\rqslk.exe 2988 "C:\Windows\SysWOW64\hndbx.exe"
C:\Windows\SysWOW64\edkbq.exe
C:\Windows\system32\edkbq.exe 2996 "C:\Windows\SysWOW64\rqslk.exe"
C:\Windows\SysWOW64\qfqrb.exe
C:\Windows\system32\qfqrb.exe 3000 "C:\Windows\SysWOW64\edkbq.exe"
C:\Windows\SysWOW64\aifbo.exe
C:\Windows\system32\aifbo.exe 3004 "C:\Windows\SysWOW64\qfqrb.exe"
C:\Windows\SysWOW64\ngaef.exe
C:\Windows\system32\ngaef.exe 3008 "C:\Windows\SysWOW64\aifbo.exe"
C:\Windows\SysWOW64\axvgo.exe
C:\Windows\system32\axvgo.exe 3024 "C:\Windows\SysWOW64\ngaef.exe"
C:\Windows\SysWOW64\nvxjw.exe
C:\Windows\system32\nvxjw.exe 3016 "C:\Windows\SysWOW64\axvgo.exe"
C:\Windows\SysWOW64\xucgh.exe
C:\Windows\system32\xucgh.exe 3032 "C:\Windows\SysWOW64\nvxjw.exe"
C:\Windows\SysWOW64\kwios.exe
C:\Windows\system32\kwios.exe 3012 "C:\Windows\SysWOW64\xucgh.exe"
C:\Windows\SysWOW64\uzxyn.exe
C:\Windows\system32\uzxyn.exe 3040 "C:\Windows\SysWOW64\kwios.exe"
C:\Windows\SysWOW64\hmpwt.exe
C:\Windows\system32\hmpwt.exe 3028 "C:\Windows\SysWOW64\uzxyn.exe"
C:\Windows\SysWOW64\ukjzc.exe
C:\Windows\system32\ukjzc.exe 3020 "C:\Windows\SysWOW64\hmpwt.exe"
C:\Windows\SysWOW64\dqkos.exe
C:\Windows\system32\dqkos.exe 3044 "C:\Windows\SysWOW64\ukjzc.exe"
C:\Windows\SysWOW64\oxwmk.exe
C:\Windows\system32\oxwmk.exe 3036 "C:\Windows\SysWOW64\dqkos.exe"
C:\Windows\SysWOW64\borot.exe
C:\Windows\system32\borot.exe 3048 "C:\Windows\SysWOW64\oxwmk.exe"
C:\Windows\SysWOW64\obiey.exe
C:\Windows\system32\obiey.exe 3052 "C:\Windows\SysWOW64\borot.exe"
C:\Windows\SysWOW64\xpbbo.exe
C:\Windows\system32\xpbbo.exe 3056 "C:\Windows\SysWOW64\obiey.exe"
C:\Windows\SysWOW64\kgeex.exe
C:\Windows\system32\kgeex.exe 3064 "C:\Windows\SysWOW64\xpbbo.exe"
C:\Windows\SysWOW64\xezhg.exe
C:\Windows\system32\xezhg.exe 3060 "C:\Windows\SysWOW64\kgeex.exe"
C:\Windows\SysWOW64\kuuko.exe
C:\Windows\system32\kuuko.exe 3076 "C:\Windows\SysWOW64\xezhg.exe"
C:\Windows\SysWOW64\xtwmf.exe
C:\Windows\system32\xtwmf.exe 3068 "C:\Windows\SysWOW64\kuuko.exe"
C:\Windows\SysWOW64\hzxcv.exe
C:\Windows\system32\hzxcv.exe 3080 "C:\Windows\SysWOW64\xtwmf.exe"
C:\Windows\SysWOW64\uysee.exe
C:\Windows\system32\uysee.exe 3084 "C:\Windows\SysWOW64\hzxcv.exe"
C:\Windows\SysWOW64\hljcj.exe
C:\Windows\system32\hljcj.exe 3092 "C:\Windows\SysWOW64\uysee.exe"
C:\Windows\SysWOW64\qzcrh.exe
C:\Windows\system32\qzcrh.exe 3096 "C:\Windows\SysWOW64\hljcj.exe"
C:\Windows\SysWOW64\emuhn.exe
C:\Windows\system32\emuhn.exe 3100 "C:\Windows\SysWOW64\qzcrh.exe"
C:\Windows\SysWOW64\qcokw.exe
C:\Windows\system32\qcokw.exe 3116 "C:\Windows\SysWOW64\emuhn.exe"
C:\Windows\SysWOW64\anmuj.exe
C:\Windows\system32\anmuj.exe 2952 "C:\Windows\SysWOW64\qcokw.exe"
C:\Windows\SysWOW64\kpbfw.exe
C:\Windows\system32\kpbfw.exe 3108 "C:\Windows\SysWOW64\anmuj.exe"
C:\Windows\SysWOW64\xowhn.exe
C:\Windows\system32\xowhn.exe 3112 "C:\Windows\SysWOW64\kpbfw.exe"
C:\Windows\SysWOW64\hnafx.exe
C:\Windows\system32\hnafx.exe 3128 "C:\Windows\SysWOW64\xowhn.exe"
C:\Windows\SysWOW64\mddhg.exe
C:\Windows\system32\mddhg.exe 3088 "C:\Windows\SysWOW64\hnafx.exe"
C:\Windows\SysWOW64\zcyko.exe
C:\Windows\system32\zcyko.exe 3120 "C:\Windows\SysWOW64\mddhg.exe"
C:\Windows\SysWOW64\jfnuc.exe
C:\Windows\system32\jfnuc.exe 3104 "C:\Windows\SysWOW64\zcyko.exe"
C:\Windows\SysWOW64\wsfkp.exe
C:\Windows\system32\wsfkp.exe 3132 "C:\Windows\SysWOW64\jfnuc.exe"
C:\Windows\SysWOW64\ggfhf.exe
C:\Windows\system32\ggfhf.exe 3136 "C:\Windows\SysWOW64\wsfkp.exe"
C:\Windows\SysWOW64\teako.exe
C:\Windows\system32\teako.exe 3140 "C:\Windows\SysWOW64\ggfhf.exe"
C:\Windows\SysWOW64\grsau.exe
C:\Windows\system32\grsau.exe 3148 "C:\Windows\SysWOW64\teako.exe"
C:\Windows\SysWOW64\qxsxs.exe
C:\Windows\system32\qxsxs.exe 3160 "C:\Windows\SysWOW64\grsau.exe"
C:\Windows\SysWOW64\aewvc.exe
C:\Windows\system32\aewvc.exe 3144 "C:\Windows\SysWOW64\qxsxs.exe"
C:\Windows\SysWOW64\qjfqg.exe
C:\Windows\system32\qjfqg.exe 3152 "C:\Windows\SysWOW64\aewvc.exe"
C:\Windows\SysWOW64\aijnr.exe
C:\Windows\system32\aijnr.exe 3156 "C:\Windows\SysWOW64\qjfqg.exe"
C:\Windows\SysWOW64\jwjkh.exe
C:\Windows\system32\jwjkh.exe 3124 "C:\Windows\SysWOW64\aijnr.exe"
C:\Windows\SysWOW64\wmefx.exe
C:\Windows\system32\wmefx.exe 3168 "C:\Windows\SysWOW64\jwjkh.exe"
C:\Windows\SysWOW64\jlzig.exe
C:\Windows\system32\jlzig.exe 3172 "C:\Windows\SysWOW64\wmefx.exe"
C:\Windows\SysWOW64\wbclp.exe
C:\Windows\system32\wbclp.exe 3176 "C:\Windows\SysWOW64\jlzig.exe"
C:\Windows\SysWOW64\jaxnx.exe
C:\Windows\system32\jaxnx.exe 3180 "C:\Windows\SysWOW64\wbclp.exe"
C:\Windows\SysWOW64\tgxln.exe
C:\Windows\system32\tgxln.exe 3188 "C:\Windows\SysWOW64\jaxnx.exe"
C:\Windows\SysWOW64\gesnw.exe
C:\Windows\system32\gesnw.exe 3192 "C:\Windows\SysWOW64\tgxln.exe"
C:\Windows\SysWOW64\tvvqe.exe
C:\Windows\system32\tvvqe.exe 3164 "C:\Windows\SysWOW64\gesnw.exe"
C:\Windows\SysWOW64\ftqtv.exe
C:\Windows\system32\ftqtv.exe 3196 "C:\Windows\SysWOW64\tvvqe.exe"
C:\Windows\SysWOW64\skkve.exe
C:\Windows\system32\skkve.exe 3200 "C:\Windows\SysWOW64\ftqtv.exe"
C:\Windows\SysWOW64\cvayr.exe
C:\Windows\system32\cvayr.exe 3204 "C:\Windows\SysWOW64\skkve.exe"
C:\Windows\SysWOW64\pldaz.exe
C:\Windows\system32\pldaz.exe 3212 "C:\Windows\SysWOW64\cvayr.exe"
C:\Windows\SysWOW64\cnjql.exe
C:\Windows\system32\cnjql.exe 3208 "C:\Windows\SysWOW64\pldaz.exe"
C:\Windows\SysWOW64\mqyag.exe
C:\Windows\system32\mqyag.exe 3216 "C:\Windows\SysWOW64\cnjql.exe"
C:\Windows\SysWOW64\zotdp.exe
C:\Windows\system32\zotdp.exe 3220 "C:\Windows\SysWOW64\mqyag.exe"
C:\Windows\SysWOW64\mbktv.exe
C:\Windows\system32\mbktv.exe 3224 "C:\Windows\SysWOW64\zotdp.exe"
C:\Windows\SysWOW64\vhlql.exe
C:\Windows\system32\vhlql.exe 3228 "C:\Windows\SysWOW64\mbktv.exe"
C:\Windows\SysWOW64\iggtt.exe
C:\Windows\system32\iggtt.exe 3232 "C:\Windows\SysWOW64\vhlql.exe"
C:\Windows\SysWOW64\vwbwc.exe
C:\Windows\system32\vwbwc.exe 3236 "C:\Windows\SysWOW64\iggtt.exe"
C:\Windows\SysWOW64\ivdys.exe
C:\Windows\system32\ivdys.exe 3240 "C:\Windows\SysWOW64\vwbwc.exe"
C:\Windows\SysWOW64\vlytb.exe
C:\Windows\system32\vlytb.exe 3244 "C:\Windows\SysWOW64\ivdys.exe"
C:\Windows\SysWOW64\fzzqr.exe
C:\Windows\system32\fzzqr.exe 3252 "C:\Windows\SysWOW64\vlytb.exe"
C:\Windows\SysWOW64\squta.exe
C:\Windows\system32\squta.exe 3248 "C:\Windows\SysWOW64\fzzqr.exe"
C:\Windows\SysWOW64\foxwi.exe
C:\Windows\system32\foxwi.exe 3256 "C:\Windows\SysWOW64\squta.exe"
C:\Windows\SysWOW64\rfryr.exe
C:\Windows\system32\rfryr.exe 3184 "C:\Windows\SysWOW64\foxwi.exe"
C:\Windows\SysWOW64\edmbz.exe
C:\Windows\system32\edmbz.exe 3268 "C:\Windows\SysWOW64\rfryr.exe"
C:\Windows\SysWOW64\ogjmv.exe
C:\Windows\system32\ogjmv.exe 3264 "C:\Windows\SysWOW64\edmbz.exe"
C:\Windows\SysWOW64\bweod.exe
C:\Windows\system32\bweod.exe 3276 "C:\Windows\SysWOW64\ogjmv.exe"
C:\Windows\SysWOW64\lhuzr.exe
C:\Windows\system32\lhuzr.exe 3272 "C:\Windows\SysWOW64\bweod.exe"
C:\Windows\SysWOW64\yjagc.exe
C:\Windows\system32\yjagc.exe 3280 "C:\Windows\SysWOW64\lhuzr.exe"
C:\Windows\SysWOW64\lzvjt.exe
C:\Windows\system32\lzvjt.exe 3288 "C:\Windows\SysWOW64\yjagc.exe"
C:\Windows\SysWOW64\vzhgd.exe
C:\Windows\system32\vzhgd.exe 3296 "C:\Windows\SysWOW64\lzvjt.exe"
C:\Windows\SysWOW64\hbnwo.exe
C:\Windows\system32\hbnwo.exe 3284 "C:\Windows\SysWOW64\vzhgd.exe"
C:\Windows\SysWOW64\vowmu.exe
C:\Windows\system32\vowmu.exe 3292 "C:\Windows\SysWOW64\hbnwo.exe"
C:\Windows\SysWOW64\hqkbg.exe
C:\Windows\system32\hqkbg.exe 3300 "C:\Windows\SysWOW64\vowmu.exe"
C:\Windows\SysWOW64\rsamb.exe
C:\Windows\system32\rsamb.exe 3304 "C:\Windows\SysWOW64\hqkbg.exe"
C:\Windows\SysWOW64\ervpj.exe
C:\Windows\system32\ervpj.exe 3260 "C:\Windows\SysWOW64\rsamb.exe"
C:\Windows\SysWOW64\jemep.exe
C:\Windows\system32\jemep.exe 3312 "C:\Windows\SysWOW64\ervpj.exe"
C:\Windows\SysWOW64\tsfcf.exe
C:\Windows\system32\tsfcf.exe 3316 "C:\Windows\SysWOW64\jemep.exe"
C:\Windows\SysWOW64\giiwo.exe
C:\Windows\system32\giiwo.exe 3324 "C:\Windows\SysWOW64\tsfcf.exe"
C:\Windows\SysWOW64\tzczw.exe
C:\Windows\system32\tzczw.exe 3332 "C:\Windows\SysWOW64\giiwo.exe"
C:\Windows\SysWOW64\gxxcn.exe
C:\Windows\system32\gxxcn.exe 3320 "C:\Windows\SysWOW64\tzczw.exe"
C:\Windows\SysWOW64\srlry.exe
C:\Windows\system32\srlry.exe 3308 "C:\Windows\SysWOW64\gxxcn.exe"
C:\Windows\SysWOW64\cyppj.exe
C:\Windows\system32\cyppj.exe 3336 "C:\Windows\SysWOW64\srlry.exe"
C:\Windows\SysWOW64\mbfzw.exe
C:\Windows\system32\mbfzw.exe 3340 "C:\Windows\SysWOW64\cyppj.exe"
C:\Windows\SysWOW64\aowpc.exe
C:\Windows\system32\aowpc.exe 3348 "C:\Windows\SysWOW64\mbfzw.exe"
C:\Windows\SysWOW64\mmrst.exe
C:\Windows\system32\mmrst.exe 3328 "C:\Windows\SysWOW64\aowpc.exe"
C:\Windows\SysWOW64\wpgcg.exe
C:\Windows\system32\wpgcg.exe 3352 "C:\Windows\SysWOW64\mmrst.exe"
C:\Windows\SysWOW64\jrnsr.exe
C:\Windows\system32\jrnsr.exe 3360 "C:\Windows\SysWOW64\wpgcg.exe"
C:\Windows\SysWOW64\whpua.exe
C:\Windows\system32\whpua.exe 3364 "C:\Windows\SysWOW64\jrnsr.exe"
C:\Windows\SysWOW64\jgkxi.exe
C:\Windows\system32\jgkxi.exe 3356 "C:\Windows\SysWOW64\whpua.exe"
C:\Windows\SysWOW64\tjahe.exe
C:\Windows\system32\tjahe.exe 3380 "C:\Windows\SysWOW64\jgkxi.exe"
C:\Windows\SysWOW64\ghucm.exe
C:\Windows\system32\ghucm.exe 3368 "C:\Windows\SysWOW64\tjahe.exe"
C:\Windows\SysWOW64\tyxfv.exe
C:\Windows\system32\tyxfv.exe 3372 "C:\Windows\SysWOW64\ghucm.exe"
C:\Windows\SysWOW64\foshd.exe
C:\Windows\system32\foshd.exe 3376 "C:\Windows\SysWOW64\tyxfv.exe"
C:\Windows\SysWOW64\pzhsr.exe
C:\Windows\system32\pzhsr.exe 3384 "C:\Windows\SysWOW64\foshd.exe"
C:\Windows\SysWOW64\cpkvz.exe
C:\Windows\system32\cpkvz.exe 3388 "C:\Windows\SysWOW64\pzhsr.exe"
C:\Windows\SysWOW64\mazfu.exe
C:\Windows\system32\mazfu.exe 3392 "C:\Windows\SysWOW64\cpkvz.exe"
C:\Windows\SysWOW64\zquid.exe
C:\Windows\system32\zquid.exe 3396 "C:\Windows\SysWOW64\mazfu.exe"
C:\Windows\SysWOW64\jbksq.exe
C:\Windows\system32\jbksq.exe 3400 "C:\Windows\SysWOW64\zquid.exe"
C:\Windows\SysWOW64\wrmvz.exe
C:\Windows\system32\wrmvz.exe 3408 "C:\Windows\SysWOW64\jbksq.exe"
C:\Windows\SysWOW64\jewkf.exe
C:\Windows\system32\jewkf.exe 3344 "C:\Windows\SysWOW64\wrmvz.exe"
C:\Windows\SysWOW64\tsxid.exe
C:\Windows\system32\tsxid.exe 3404 "C:\Windows\SysWOW64\jewkf.exe"
C:\Windows\SysWOW64\gfoxj.exe
C:\Windows\system32\gfoxj.exe 3424 "C:\Windows\SysWOW64\tsxid.exe"
C:\Windows\SysWOW64\qqeiw.exe
C:\Windows\system32\qqeiw.exe 3416 "C:\Windows\SysWOW64\gfoxj.exe"
C:\Windows\SysWOW64\dgyle.exe
C:\Windows\system32\dgyle.exe 3428 "C:\Windows\SysWOW64\qqeiw.exe"
C:\Windows\SysWOW64\qftnn.exe
C:\Windows\system32\qftnn.exe 3412 "C:\Windows\SysWOW64\dgyle.exe"
C:\Windows\SysWOW64\ziryi.exe
C:\Windows\system32\ziryi.exe 3420 "C:\Windows\SysWOW64\qftnn.exe"
C:\Windows\SysWOW64\mylsr.exe
C:\Windows\system32\mylsr.exe 3436 "C:\Windows\SysWOW64\ziryi.exe"
C:\Windows\SysWOW64\atvqx.exe
C:\Windows\system32\atvqx.exe 3440 "C:\Windows\SysWOW64\mylsr.exe"
C:\Windows\SysWOW64\jzwfn.exe
C:\Windows\system32\jzwfn.exe 3452 "C:\Windows\SysWOW64\atvqx.exe"
C:\Windows\SysWOW64\wunva.exe
C:\Windows\system32\wunva.exe 3448 "C:\Windows\SysWOW64\jzwfn.exe"
C:\Windows\SysWOW64\jliyj.exe
C:\Windows\system32\jliyj.exe 3456 "C:\Windows\SysWOW64\wunva.exe"
C:\Windows\SysWOW64\tnxiw.exe
C:\Windows\system32\tnxiw.exe 3432 "C:\Windows\SysWOW64\jliyj.exe"
C:\Windows\SysWOW64\gmalf.exe
C:\Windows\system32\gmalf.exe 3460 "C:\Windows\SysWOW64\tnxiw.exe"
C:\Windows\SysWOW64\tcvon.exe
C:\Windows\system32\tcvon.exe 3476 "C:\Windows\SysWOW64\gmalf.exe"
C:\Windows\SysWOW64\dqwll.exe
C:\Windows\system32\dqwll.exe 3444 "C:\Windows\SysWOW64\tcvon.exe"
C:\Windows\SysWOW64\qhqou.exe
C:\Windows\system32\qhqou.exe 3464 "C:\Windows\SysWOW64\dqwll.exe"
Network
Files
memory/2344-0-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2344-1-0x0000000000401000-0x000000000042A000-memory.dmp
memory/2344-2-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2344-7-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2344-6-0x0000000000400000-0x00000000005D9000-memory.dmp
C:\Windows\SysWOW64\mszse.exe
| MD5 | 8e88af0135a490ce9edb4a2e2dbe0036 |
| SHA1 | 329ae237b097dbac5f29bf233db8d2aaf2b0aaa4 |
| SHA256 | d9af634353937ca452cd1c9347a59bfb3911ff6a3136cd86c365d40c748641e4 |
| SHA512 | 5dfd3ed34d9f581b0ab34c8dd675a92add7a55a5b9ac7f3ed58aadd1257ba87e8782abf147fedd01723cf90a506c90f05d71edbd856270b3a0301ad0b35bf608 |
memory/2688-17-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2344-16-0x00000000047E0000-0x00000000049B9000-memory.dmp
memory/2344-15-0x00000000047E0000-0x00000000049B9000-memory.dmp
memory/2688-19-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2688-20-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2688-24-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/3060-34-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2688-33-0x0000000004980000-0x0000000004B59000-memory.dmp
memory/2688-32-0x0000000004980000-0x0000000004B59000-memory.dmp
memory/3060-40-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/3060-36-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1756-50-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/3060-49-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1756-51-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1756-52-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1756-57-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1756-56-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/376-66-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1756-65-0x00000000048E0000-0x0000000004AB9000-memory.dmp
memory/1680-80-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/376-79-0x0000000004950000-0x0000000004B29000-memory.dmp
memory/376-78-0x0000000004950000-0x0000000004B29000-memory.dmp
memory/376-82-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/816-95-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1680-96-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1680-93-0x0000000004990000-0x0000000004B69000-memory.dmp
memory/1680-92-0x0000000004990000-0x0000000004B69000-memory.dmp
memory/816-107-0x0000000004900000-0x0000000004AD9000-memory.dmp
memory/816-109-0x0000000004900000-0x0000000004AD9000-memory.dmp
memory/996-108-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/816-111-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1512-123-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/996-121-0x0000000004880000-0x0000000004A59000-memory.dmp
memory/996-124-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1512-137-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2692-148-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2856-147-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2856-159-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/552-170-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2028-171-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2220-182-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/552-184-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1928-195-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2220-197-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2428-207-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1928-209-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2428-224-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2648-229-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2820-236-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1396-243-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2040-251-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2552-259-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/788-264-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/444-271-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1028-278-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1044-285-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1776-294-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/640-300-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2504-306-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2880-313-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/536-322-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1844-327-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1148-336-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1064-342-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2544-348-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1544-355-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2712-362-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1784-369-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2908-377-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2744-383-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2756-390-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/680-399-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/3016-404-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1312-411-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2964-418-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2008-426-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/696-432-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2420-439-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1436-446-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2280-453-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2632-460-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2160-467-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2512-474-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1596-481-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1800-488-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/352-495-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2076-502-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2896-511-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/1688-516-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2336-523-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/976-530-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/876-537-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/372-544-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/2736-551-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/572-559-0x0000000000400000-0x00000000005D9000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-11-04 01:44
Reported
2024-11-04 03:11
Platform
win10v2004-20241007-en
Max time kernel
148s
Max time network
152s
Command Line
Signatures
Identifies Wine through registry keys
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Software\Wine | C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe | N/A |
System Location Discovery: System Language Discovery
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe | N/A |
Processes
C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\8e88af0135a490ce9edb4a2e2dbe0036_JaffaCakes118.exe"
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | 13.86.106.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 83.210.23.2.in-addr.arpa | udp |
| US | 8.8.8.8:53 | g.bing.com | udp |
| US | 150.171.27.10:443 | g.bing.com | tcp |
| US | 8.8.8.8:53 | 76.32.126.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 95.221.229.192.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 10.27.171.150.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 43.58.199.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 97.17.167.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 53.210.109.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 198.187.3.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 22.236.111.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | tse1.mm.bing.net | udp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 8.8.8.8:53 | 88.156.103.20.in-addr.arpa | udp |
Files
memory/4712-0-0x0000000000400000-0x00000000005D9000-memory.dmp
memory/4712-1-0x0000000000400000-0x00000000005D9000-memory.dmp