Analysis Overview
SHA256
b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbb
Threat Level: Known bad
The file b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN was found to be: Known bad.
Malicious Activity Summary
Modifies WinLogon for persistence
Modifies system executable filetype association
Executes dropped EXE
Loads dropped DLL
Drops file in System32 directory
Drops file in Windows directory
Unsigned PE
System Location Discovery: System Language Discovery
Modifies registry class
Suspicious use of WriteProcessMemory
Suspicious behavior: AddClipboardFormatListener
Suspicious behavior: EnumeratesProcesses
Modifies Internet Explorer settings
Suspicious use of SetWindowsHookEx
MITRE ATT&CK
Enterprise Matrix V15
Analysis: static1
Detonation Overview
Reported
2024-11-09 23:00
Signatures
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-11-09 23:00
Reported
2024-11-09 23:02
Platform
win7-20241010-en
Max time kernel
48s
Max time network
120s
Command Line
Signatures
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\system\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\system\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\mmtask.exe | N/A |
Executes dropped EXE
Loads dropped DLL
Modifies system executable filetype association
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\system\SVCHOST.EXE | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SVCHOST.EXE | N/A |
Drops file in Windows directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
System Location Discovery: System Language Discovery
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | N/A | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
Modifies Internet Explorer settings
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Internet Explorer\Toolbar | C:\Windows\explorer.exe | N/A |
| Set value (int) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Internet Explorer\Toolbar\Locked = "1" | C:\Windows\explorer.exe | N/A |
Modifies registry class
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 4c003100000000004a59d248100041646d696e00380008000400efbe4a59dc444a59d2482a00000033000000000003000000000000000000000000000000410064006d0069006e00000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 4c003100000000004a591d4610204c6f63616c00380008000400efbe4a59dc444a591d462a000000000200000000020000000000000000000000000000004c006f00630061006c00000014000000 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = c800310000000000695906b816004231423132317e310000b00008000400efbe695906b8695906b82a000000426d010000000800000000000000000000000000000062003100620031003200310065003300650035006600330037003100660030003400650039003300380062003800360036006500620031003900330030006300660039006100630035003700340039003600630033006600650062003300340032003100380036006600380034006200320033003600370066006300620062004e00000018000000 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 74003100000000004a59dc441100557365727300600008000400efbeee3a851a4a59dc442a000000e601000000000100000000000000000036000000000055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\system\SVCHOST.EXE | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4a00310000000000695906b8102054656d700000360008000400efbe4a59dc44695906b82a00000001020000000002000000000000000000000000000000540065006d007000000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (int) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\KnownFolderDerivedFolderType = "{57807898-8C4F-4462-BB63-71042380B109}" | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SVCHOST.EXE | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Pictures" | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_Classes\Local Settings | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 52003100000000004a59dc44122041707044617461003c0008000400efbe4a59dc444a59dc442a000000ed0100000000020000000000000000000000000000004100700070004400610074006100000016000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
Suspicious behavior: EnumeratesProcesses
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe
"C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe"
C:\Windows\SysWOW64\explorer.exe
explorer C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN\
C:\Windows\explorer.exe
C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
Network
Files
memory/2828-0-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2828-10-0x0000000000250000-0x000000000026F000-memory.dmp
C:\Windows\SysWOW64\EBRR.EXE
| MD5 | 79b8a2baf768f4f84a4e2cc7ed6d78c3 |
| SHA1 | aebc1d131dad81bb335c45e7dc69a4aec8c70e50 |
| SHA256 | fb6be12bf8895b0439b072f3e95c995cfa25fe666ef6daf3a10891ca837e6670 |
| SHA512 | 737fc7e85896263517f955378bbd63fd1b63c04b3cf0912ade177cb50d86574df71694ced510d12d5870590918bb92e9150e7c374c990a9f881e7a6c569e2e3f |
memory/2828-15-0x0000000000250000-0x000000000026F000-memory.dmp
memory/3064-22-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/2988-26-0x0000000000400000-0x000000000041F000-memory.dmp
\Windows\SysWOW64\mmtask.exe
| MD5 | a365e1c1b24899e1f575b26f874a4be4 |
| SHA1 | 638e92003211a7cb0eb6ddc0b4d3fee5e1b95f4e |
| SHA256 | 92f8a3e56de6738fbad91138137c35a3a5cfc573a043357534e7d8d17090cafa |
| SHA512 | 0478639ccc2a21b0475267ab96d1be119e96cee3e5ac747655946678253d03078d95bd77ea856ab5a9adc4d77e2ae7e52256ff10b138a1791f5fda6f7774eb1e |
memory/3064-33-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/1928-39-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2940-44-0x0000000003A90000-0x0000000003AA0000-memory.dmp
memory/2828-45-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-51-0x0000000000400000-0x000000000041F000-memory.dmp
memory/700-52-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3016-57-0x0000000000400000-0x000000000041F000-memory.dmp
C:\Windows\SVCHOST.EXE
| MD5 | 5f027676182e4ea3c95e7b081a88d619 |
| SHA1 | ac64565ca20f0422257d4098299d69f1c331967b |
| SHA256 | 83082190f1b6810e730764a43701b6f13886999e045631efdb03abb01917a1c4 |
| SHA512 | e203a0a87883cfd1fbb03f0072c24b034bdb6e138013a856526965521c51e25cae62051680e5a852c945b5cc7f5144dc33d18bbe7eed1267bbecde772b4251b9 |
memory/2120-67-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1928-76-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-75-0x00000000001E0000-0x00000000001FF000-memory.dmp
C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN\Cantik.bmp
| MD5 | 7ab9246655e40e5d922e1f92560128f5 |
| SHA1 | a989d0611485d2429f5b33a4124126415b02390f |
| SHA256 | 3ed10a9452b56114f9f6fb3f65f02e8d6b906897271793e4b410c08e3bde9772 |
| SHA512 | 3fe741419bc727d23f18b0979dbadeaa69d418a7f290c816afaf2c4eabd1475ff4f7b543ea699e93f0dce96592e058a55e7a9f0aa3094c200a863df40c4b2c50 |
memory/2920-84-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1928-86-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2928-87-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2928-96-0x0000000000400000-0x000000000041F000-memory.dmp
\Windows\system\SVCHOST.EXE
| MD5 | 3dfcd7864b0c9af339d191f6e109cdd6 |
| SHA1 | 1def1bade468415405681ae32c6e05d0ae404cc5 |
| SHA256 | cdbef14871ffaf1f01eb762acd7b0ab5ee3a243fb66d752b8f6da0e5b032f970 |
| SHA512 | df0cd6029089714070c24452f58625d1b87b20d42532529bc437a8565c5ae4d573737d23acbe870f07c71906973b9cc7291ad06b03194f0d4599d7f7e24aef5c |
memory/2880-104-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2120-103-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2120-101-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2880-110-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2548-116-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1516-125-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2476-124-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2880-123-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2476-127-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2880-136-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2120-145-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2880-133-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1984-141-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2204-132-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1928-177-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/1760-184-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1984-161-0x0000000000400000-0x000000000041F000-memory.dmp
memory/872-186-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1332-187-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2880-154-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2264-170-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2264-169-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1468-165-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2164-151-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-142-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/2132-201-0x0000000000400000-0x000000000041F000-memory.dmp
memory/944-202-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-200-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/2828-198-0x0000000000250000-0x000000000026F000-memory.dmp
memory/1928-203-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/1764-204-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1520-208-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2352-214-0x0000000000400000-0x000000000041F000-memory.dmp
memory/892-218-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2404-225-0x0000000000400000-0x000000000041F000-memory.dmp
memory/864-224-0x0000000000400000-0x000000000041F000-memory.dmp
memory/396-223-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2132-217-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2120-216-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/3064-215-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/608-227-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2352-229-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-232-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/1928-231-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/1552-230-0x0000000000400000-0x000000000041F000-memory.dmp
memory/748-233-0x0000000000400000-0x000000000041F000-memory.dmp
memory/396-234-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2404-237-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1056-239-0x0000000000400000-0x000000000041F000-memory.dmp
memory/864-238-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-240-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/1928-244-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2880-243-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/3064-245-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/2120-242-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2880-241-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2828-246-0x0000000000250000-0x000000000026F000-memory.dmp
memory/2880-260-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2020-259-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1892-258-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1928-257-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2880-256-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2120-255-0x0000000000290000-0x00000000002AF000-memory.dmp
memory/2136-261-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2828-262-0x0000000000250000-0x000000000026F000-memory.dmp
memory/1788-269-0x0000000076F60000-0x000000007707F000-memory.dmp
memory/1568-272-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2880-273-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/1788-271-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1788-270-0x0000000076E60000-0x0000000076F5A000-memory.dmp
memory/2840-278-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2020-280-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2880-283-0x00000000003E0000-0x00000000003FF000-memory.dmp
memory/2864-282-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-281-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/1892-279-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2680-286-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3064-293-0x00000000001E0000-0x00000000001FF000-memory.dmp
memory/1120-292-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2900-291-0x0000000000400000-0x000000000041F000-memory.dmp
memory/772-374-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1788-479-0x0000000076F60000-0x000000007707F000-memory.dmp
memory/2984-703-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1064-747-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1064-743-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1280-875-0x00000000001B0000-0x00000000001C0000-memory.dmp
memory/1280-876-0x00000000001B0000-0x00000000001C0000-memory.dmp
memory/1132-904-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1788-1081-0x0000000076F60000-0x000000007707F000-memory.dmp
memory/3068-1124-0x0000000000220000-0x0000000000230000-memory.dmp
memory/3068-1123-0x0000000000220000-0x0000000000230000-memory.dmp
memory/484-1293-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2076-1445-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2076-1444-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1644-1633-0x00000000001B0000-0x00000000001C0000-memory.dmp
memory/1292-1706-0x00000000003A0000-0x00000000003B0000-memory.dmp
memory/1744-1899-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1744-1898-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1128-1915-0x0000000000220000-0x0000000000230000-memory.dmp
memory/3052-1987-0x0000000000220000-0x0000000000230000-memory.dmp
memory/3052-1986-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1804-2053-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1804-2054-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1924-2075-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1924-2074-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1128-2247-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1128-2246-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2500-2255-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2500-2254-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2116-2435-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1552-2514-0x00000000003B0000-0x00000000003C0000-memory.dmp
memory/1552-2515-0x00000000003B0000-0x00000000003C0000-memory.dmp
memory/1368-2651-0x0000000000220000-0x0000000000230000-memory.dmp
memory/984-2655-0x0000000000220000-0x0000000000230000-memory.dmp
memory/984-2654-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1064-2802-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1064-2803-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2216-2945-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1448-3019-0x00000000003A0000-0x00000000003B0000-memory.dmp
memory/3044-3115-0x0000000000220000-0x0000000000230000-memory.dmp
memory/3044-3117-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1552-3170-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1552-3171-0x0000000000220000-0x0000000000230000-memory.dmp
memory/1788-3389-0x0000000076F60000-0x000000007707F000-memory.dmp
memory/1788-3390-0x0000000076E60000-0x0000000076F5A000-memory.dmp
memory/2584-3554-0x00000000001B0000-0x00000000001C0000-memory.dmp
memory/1788-3564-0x0000000076F60000-0x000000007707F000-memory.dmp
memory/1788-3565-0x0000000076E60000-0x0000000076F5A000-memory.dmp
memory/2760-3571-0x00000000001B0000-0x00000000001C0000-memory.dmp
memory/2760-3570-0x00000000001B0000-0x00000000001C0000-memory.dmp
memory/3032-3597-0x00000000003B0000-0x00000000003C0000-memory.dmp
memory/3032-3596-0x00000000003B0000-0x00000000003C0000-memory.dmp
memory/2168-3922-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2572-3925-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2168-3921-0x0000000000220000-0x0000000000230000-memory.dmp
memory/2572-3926-0x0000000000220000-0x0000000000230000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-11-09 23:00
Reported
2024-11-09 23:02
Platform
win10v2004-20241007-en
Max time kernel
27s
Max time network
97s
Command Line
Signatures
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\system\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\system\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" | C:\Windows\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" | C:\Windows\SVCHOST.EXE | N/A |
Executes dropped EXE
Modifies system executable filetype association
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\system\SVCHOST.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\mmtask.exe | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\SysWOW64\EBRR.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\SysWOW64\mmtask.exe | C:\Windows\system\SVCHOST.EXE | N/A |
Drops file in Windows directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\system\SVCHOST.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| File opened for modification | C:\Windows\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\SVCHOST.EXE | N/A |
| File created | C:\Windows\system\SVCHOST.EXE | C:\Windows\SysWOW64\mmtask.exe | N/A |
System Location Discovery: System Language Discovery
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\system\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SVCHOST.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\EBRR.EXE | N/A |
Modifies Internet Explorer settings
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\Software\Microsoft\Internet Explorer\Toolbar | C:\Windows\explorer.exe | N/A |
| Set value (int) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\Locked = "1" | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ITBar7Layout = 13000000000000000000000020000000100000000000000001000000010700005e01000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 | C:\Windows\explorer.exe | N/A |
Modifies registry class
| Description | Indicator | Process | Target |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 56003100000000004759d24912004170704461746100400009000400efbe4759d249695907b82e00000065e101000000010000000000000000000000000000004f88a8004100700070004400610074006100000016000000 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\mmtask.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SVCHOST.EXE | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 50003100000000004759c44b10004c6f63616c003c0009000400efbe4759d249695907b82e00000078e10100000001000000000000000000000000000000defdd4004c006f00630061006c00000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (int) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Documents" | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{4336a54d-038b-4685-ab02-99bb52d3fb8b}\Instance\ | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\SysWOW64\EBRR.EXE | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 78003100000000004759d2491100557365727300640009000400efbe874f7748695907b82e000000c70500000000010000000000000000003a000000000054d6b60055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}\Instance\ | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 50003100000000004759524f100041646d696e003c0009000400efbe4759d249695907b82e0000005ae1010000000100000000000000000000000000000002f95700410064006d0069006e00000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4e00310000000000695907b8100054656d7000003a0009000400efbe4759d249695907b82e00000079e101000000010000000000000000000000000000004b29f000540065006d007000000014000000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = cc00310000000000695907b816004231423132317e310000b40009000400efbe695907b8695907b82e000000713c020000000b0000000000000000000000000000004b29f00062003100620031003200310065003300650035006600330037003100660030003400650039003300380062003800360036006500620031003900330030006300660039006100630035003700340039003600630033006600650062003300340032003100380036006600380034006200320033003600370066006300620062004e00000018000000 | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" | C:\Windows\explorer.exe | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 | C:\Windows\explorer.exe | N/A |
| Set value (data) | \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 | C:\Windows\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" | C:\Windows\system\SVCHOST.EXE | N/A |
Suspicious behavior: AddClipboardFormatListener
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Windows\explorer.exe | N/A |
Suspicious behavior: EnumeratesProcesses
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe
"C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe"
C:\Windows\SysWOW64\explorer.exe
explorer C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN\
C:\Windows\explorer.exe
C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\System32\WaaSMedicAgent.exe
C:\Windows\System32\WaaSMedicAgent.exe f4141e353c1f68eee99d494d437e3388 vDaqZvHrkku7Mg/PzBj2Jg.0.1.0.0.0
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\System32\mousocoreworker.exe
C:\Windows\System32\mousocoreworker.exe -Embedding
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\System32\sihclient.exe
C:\Windows\System32\sihclient.exe /cv vDaqZvHrkku7Mg/PzBj2Jg.0.2
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe
C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe -Embedding
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\EBRR.EXE
C:\Windows\system32\EBRR.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\SysWOW64\mmtask.exe
C:\Windows\system32\mmtask.exe -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\SVCHOST.EXE
C:\Windows\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
C:\Windows\system\SVCHOST.EXE
C:\Windows\system\SVCHOST.EXE -s
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | 8.8.8.8.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 28.118.140.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 172.210.232.199.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 73.31.126.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 95.221.229.192.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 209.205.72.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 200.163.202.172.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 198.187.3.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 99.209.201.84.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 83.210.23.2.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 172.214.232.199.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 48.229.111.52.in-addr.arpa | udp |
Files
memory/4824-0-0x0000000000400000-0x000000000041F000-memory.dmp
C:\Windows\SysWOW64\EBRR.EXE
| MD5 | 522975e9c690e97dbbcff26ca15dcc0f |
| SHA1 | 857ac1af372096f70977cb43ed579426d6e1754e |
| SHA256 | 7e9064cc07b516a7153a8be5923bef2bd1fb3a3463079cb8f018307d578a059f |
| SHA512 | ede5f1842b13908632d9e6c803a163eee22648c5fb5f21a35b3197811c2910454d2a60605c82bf0bb86d4fcfb16c97a5a679014ac767329895bfea4db0d78264 |
memory/4240-11-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1896-21-0x0000000000400000-0x000000000041F000-memory.dmp
C:\Windows\SysWOW64\mmtask.exe
| MD5 | 3474bfe789451b8085183649b107b754 |
| SHA1 | bd0fc8fba1998d94bfdefcf518126d638d11cae8 |
| SHA256 | 42014857130da2bb2d10bf99c84f7f8febacad4ae9977a09162c453ea5237538 |
| SHA512 | 61a48cc8e0ffc0a1b6dec18e342c29d1e6bdce851265ea17a4f71f4e034e77f3f3cf47e8d042b6e561d9a246f817b91f0aff84d062749fc5a116e04173f721c8 |
memory/4628-24-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2072-32-0x0000000000400000-0x000000000041F000-memory.dmp
C:\Windows\SVCHOST.EXE
| MD5 | 5ed734fea2b06e637cc135660ec66b79 |
| SHA1 | 9b0caaf9991d43918edb0236a2a7d25d17291aae |
| SHA256 | ed96501620d9a533727bdc7b1181a4e6ad9b28a2147f705d4bb47a73f101ab34 |
| SHA512 | 17d6bd0b6746b372382fd86a8dd51a00623d83a039479391fe06dbb1413930762ba74e56d6914ab71c0cf68201a168109a5709cd128e4c33f023a16314396716 |
memory/624-42-0x0000000000400000-0x000000000041F000-memory.dmp
memory/5076-43-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4392-50-0x0000000000400000-0x000000000041F000-memory.dmp
memory/628-51-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4392-56-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3120-62-0x0000000000400000-0x000000000041F000-memory.dmp
C:\Windows\System\SVCHOST.EXE
| MD5 | 7e1915efd659628052f9b2431b265fe2 |
| SHA1 | f9e3345e337e1c6c5efc33adaf5d02f9d086ae1b |
| SHA256 | 05b476f2a99d340b2b4bb94b79b5678afb5b47a1b0722e2945940379fd5606ee |
| SHA512 | fae08d40db4e17be841bdd1425c0723b9ee2176d35658561c18a5ed84d0d10489b1d4c1476a3d891485722da2e22fbf95cdf4f03d4212b35d552b93199a0efd9 |
memory/2884-68-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4824-66-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4240-71-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1416-75-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4628-79-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1044-81-0x0000000000400000-0x000000000041F000-memory.dmp
memory/924-84-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4484-86-0x0000000000400000-0x000000000041F000-memory.dmp
memory/924-89-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4412-95-0x0000000000400000-0x000000000041F000-memory.dmp
memory/624-94-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4380-104-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4412-106-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4380-111-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4068-109-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2884-108-0x0000000000400000-0x000000000041F000-memory.dmp
memory/928-103-0x0000000000400000-0x000000000041F000-memory.dmp
memory/876-123-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2232-126-0x0000000000400000-0x000000000041F000-memory.dmp
memory/868-129-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4004-128-0x0000000000400000-0x000000000041F000-memory.dmp
memory/468-124-0x0000000000400000-0x000000000041F000-memory.dmp
memory/868-146-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1552-149-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1552-157-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2032-161-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4204-159-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3312-154-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2692-151-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4456-150-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3312-142-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4340-143-0x0000000000400000-0x000000000041F000-memory.dmp
memory/468-136-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2292-169-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2228-168-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2292-177-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4952-191-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4352-195-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3840-193-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2192-187-0x0000000000400000-0x000000000041F000-memory.dmp
memory/224-219-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4504-220-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2736-218-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2420-217-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3916-215-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4944-213-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3916-229-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2480-238-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2420-237-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3752-236-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4764-241-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2856-224-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3704-243-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3184-244-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3008-249-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4020-256-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4884-259-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4552-260-0x0000000000400000-0x000000000041F000-memory.dmp
memory/640-270-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2580-278-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4692-287-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1628-288-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3172-292-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3884-286-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2232-284-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3328-277-0x0000000000400000-0x000000000041F000-memory.dmp
memory/556-296-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3172-301-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1108-306-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4736-304-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1348-305-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1552-312-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2608-311-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2032-315-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4424-325-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3016-326-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2392-338-0x0000000000400000-0x000000000041F000-memory.dmp
memory/1112-339-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3144-346-0x0000000000400000-0x000000000041F000-memory.dmp
memory/5084-352-0x0000000000400000-0x000000000041F000-memory.dmp
memory/2240-349-0x0000000000400000-0x000000000041F000-memory.dmp
memory/3972-359-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4508-347-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4740-345-0x0000000000400000-0x000000000041F000-memory.dmp
memory/4872-343-0x0000000000400000-0x000000000041F000-memory.dmp