Malware Analysis Report

2025-04-03 11:43

Sample ID 241109-2yzzdstjfx
Target b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN
SHA256 b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbb
Tags
discovery persistence
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbb

Threat Level: Known bad

The file b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN was found to be: Known bad.

Malicious Activity Summary

discovery persistence

Modifies WinLogon for persistence

Modifies system executable filetype association

Executes dropped EXE

Loads dropped DLL

Drops file in System32 directory

Drops file in Windows directory

Unsigned PE

System Location Discovery: System Language Discovery

Modifies registry class

Suspicious use of WriteProcessMemory

Suspicious behavior: AddClipboardFormatListener

Suspicious behavior: EnumeratesProcesses

Modifies Internet Explorer settings

Suspicious use of SetWindowsHookEx

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-11-09 23:00

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-11-09 23:00

Reported

2024-11-09 23:02

Platform

win7-20241010-en

Max time kernel

48s

Max time network

120s

Command Line

"C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A

Modifies system executable filetype association

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A

Drops file in System32 directory

Description Indicator Process Target
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A

Modifies Internet Explorer settings

adware spyware
Description Indicator Process Target
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Internet Explorer\Toolbar C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Internet Explorer\Toolbar\Locked = "1" C:\Windows\explorer.exe N/A

Modifies registry class

Description Indicator Process Target
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 4c003100000000004a59d248100041646d696e00380008000400efbe4a59dc444a59d2482a00000033000000000003000000000000000000000000000000410064006d0069006e00000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 4c003100000000004a591d4610204c6f63616c00380008000400efbe4a59dc444a591d462a000000000200000000020000000000000000000000000000004c006f00630061006c00000014000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = c800310000000000695906b816004231423132317e310000b00008000400efbe695906b8695906b82a000000426d010000000800000000000000000000000000000062003100620031003200310065003300650035006600330037003100660030003400650039003300380062003800360036006500620031003900330030006300660039006100630035003700340039003600630033006600650062003300340032003100380036006600380034006200320033003600370066006300620062004e00000018000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 74003100000000004a59dc441100557365727300600008000400efbeee3a851a4a59dc442a000000e601000000000100000000000000000036000000000055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4a00310000000000695906b8102054656d700000360008000400efbe4a59dc44695906b82a00000001020000000002000000000000000000000000000000540065006d007000000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\KnownFolderDerivedFolderType = "{57807898-8C4F-4462-BB63-71042380B109}" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Pictures" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_Classes\Local Settings C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 52003100000000004a59dc44122041707044617461003c0008000400efbe4a59dc444a59dc442a000000ed0100000000020000000000000000000000000000004100700070004400610074006100000016000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2828 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 2828 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 2828 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 2828 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 2828 wrote to memory of 3064 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2828 wrote to memory of 3064 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2828 wrote to memory of 3064 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2828 wrote to memory of 3064 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 3064 wrote to memory of 2988 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3064 wrote to memory of 2988 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3064 wrote to memory of 2988 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3064 wrote to memory of 2988 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3064 wrote to memory of 1928 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3064 wrote to memory of 1928 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3064 wrote to memory of 1928 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3064 wrote to memory of 1928 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 1928 wrote to memory of 700 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1928 wrote to memory of 700 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1928 wrote to memory of 700 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1928 wrote to memory of 700 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1928 wrote to memory of 3016 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 1928 wrote to memory of 3016 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 1928 wrote to memory of 3016 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 1928 wrote to memory of 3016 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 1928 wrote to memory of 2120 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 1928 wrote to memory of 2120 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 1928 wrote to memory of 2120 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 1928 wrote to memory of 2120 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 2120 wrote to memory of 3068 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2120 wrote to memory of 3068 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2120 wrote to memory of 3068 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2120 wrote to memory of 3068 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2120 wrote to memory of 2920 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2120 wrote to memory of 2920 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2120 wrote to memory of 2920 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2120 wrote to memory of 2920 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2120 wrote to memory of 2928 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2120 wrote to memory of 2928 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2120 wrote to memory of 2928 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2120 wrote to memory of 2928 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2120 wrote to memory of 2880 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2120 wrote to memory of 2880 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2120 wrote to memory of 2880 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2120 wrote to memory of 2880 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2880 wrote to memory of 2548 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 2548 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 2548 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 2548 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 1516 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 1516 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 1516 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 1516 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2880 wrote to memory of 2476 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2880 wrote to memory of 2476 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2880 wrote to memory of 2476 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2880 wrote to memory of 2476 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2880 wrote to memory of 2204 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2880 wrote to memory of 2204 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2880 wrote to memory of 2204 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2880 wrote to memory of 2204 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 1928 wrote to memory of 2164 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 1928 wrote to memory of 2164 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 1928 wrote to memory of 2164 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 1928 wrote to memory of 2164 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE

Processes

C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe

"C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe"

C:\Windows\SysWOW64\explorer.exe

explorer C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN\

C:\Windows\explorer.exe

C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

Network

N/A

Files

memory/2828-0-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2828-10-0x0000000000250000-0x000000000026F000-memory.dmp

C:\Windows\SysWOW64\EBRR.EXE

MD5 79b8a2baf768f4f84a4e2cc7ed6d78c3
SHA1 aebc1d131dad81bb335c45e7dc69a4aec8c70e50
SHA256 fb6be12bf8895b0439b072f3e95c995cfa25fe666ef6daf3a10891ca837e6670
SHA512 737fc7e85896263517f955378bbd63fd1b63c04b3cf0912ade177cb50d86574df71694ced510d12d5870590918bb92e9150e7c374c990a9f881e7a6c569e2e3f

memory/2828-15-0x0000000000250000-0x000000000026F000-memory.dmp

memory/3064-22-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/2988-26-0x0000000000400000-0x000000000041F000-memory.dmp

\Windows\SysWOW64\mmtask.exe

MD5 a365e1c1b24899e1f575b26f874a4be4
SHA1 638e92003211a7cb0eb6ddc0b4d3fee5e1b95f4e
SHA256 92f8a3e56de6738fbad91138137c35a3a5cfc573a043357534e7d8d17090cafa
SHA512 0478639ccc2a21b0475267ab96d1be119e96cee3e5ac747655946678253d03078d95bd77ea856ab5a9adc4d77e2ae7e52256ff10b138a1791f5fda6f7774eb1e

memory/3064-33-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/1928-39-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2940-44-0x0000000003A90000-0x0000000003AA0000-memory.dmp

memory/2828-45-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-51-0x0000000000400000-0x000000000041F000-memory.dmp

memory/700-52-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3016-57-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SVCHOST.EXE

MD5 5f027676182e4ea3c95e7b081a88d619
SHA1 ac64565ca20f0422257d4098299d69f1c331967b
SHA256 83082190f1b6810e730764a43701b6f13886999e045631efdb03abb01917a1c4
SHA512 e203a0a87883cfd1fbb03f0072c24b034bdb6e138013a856526965521c51e25cae62051680e5a852c945b5cc7f5144dc33d18bbe7eed1267bbecde772b4251b9

memory/2120-67-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1928-76-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-75-0x00000000001E0000-0x00000000001FF000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN\Cantik.bmp

MD5 7ab9246655e40e5d922e1f92560128f5
SHA1 a989d0611485d2429f5b33a4124126415b02390f
SHA256 3ed10a9452b56114f9f6fb3f65f02e8d6b906897271793e4b410c08e3bde9772
SHA512 3fe741419bc727d23f18b0979dbadeaa69d418a7f290c816afaf2c4eabd1475ff4f7b543ea699e93f0dce96592e058a55e7a9f0aa3094c200a863df40c4b2c50

memory/2920-84-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1928-86-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2928-87-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2928-96-0x0000000000400000-0x000000000041F000-memory.dmp

\Windows\system\SVCHOST.EXE

MD5 3dfcd7864b0c9af339d191f6e109cdd6
SHA1 1def1bade468415405681ae32c6e05d0ae404cc5
SHA256 cdbef14871ffaf1f01eb762acd7b0ab5ee3a243fb66d752b8f6da0e5b032f970
SHA512 df0cd6029089714070c24452f58625d1b87b20d42532529bc437a8565c5ae4d573737d23acbe870f07c71906973b9cc7291ad06b03194f0d4599d7f7e24aef5c

memory/2880-104-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2120-103-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2120-101-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2880-110-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2548-116-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1516-125-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2476-124-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2880-123-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2476-127-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2880-136-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2120-145-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2880-133-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1984-141-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2204-132-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1928-177-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/1760-184-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1984-161-0x0000000000400000-0x000000000041F000-memory.dmp

memory/872-186-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1332-187-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2880-154-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2264-170-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2264-169-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1468-165-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2164-151-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-142-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/2132-201-0x0000000000400000-0x000000000041F000-memory.dmp

memory/944-202-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-200-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/2828-198-0x0000000000250000-0x000000000026F000-memory.dmp

memory/1928-203-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/1764-204-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1520-208-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2352-214-0x0000000000400000-0x000000000041F000-memory.dmp

memory/892-218-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2404-225-0x0000000000400000-0x000000000041F000-memory.dmp

memory/864-224-0x0000000000400000-0x000000000041F000-memory.dmp

memory/396-223-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2132-217-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2120-216-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/3064-215-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/608-227-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2352-229-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-232-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/1928-231-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/1552-230-0x0000000000400000-0x000000000041F000-memory.dmp

memory/748-233-0x0000000000400000-0x000000000041F000-memory.dmp

memory/396-234-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2404-237-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1056-239-0x0000000000400000-0x000000000041F000-memory.dmp

memory/864-238-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-240-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/1928-244-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2880-243-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/3064-245-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/2120-242-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2880-241-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2828-246-0x0000000000250000-0x000000000026F000-memory.dmp

memory/2880-260-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2020-259-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1892-258-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1928-257-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2880-256-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2120-255-0x0000000000290000-0x00000000002AF000-memory.dmp

memory/2136-261-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2828-262-0x0000000000250000-0x000000000026F000-memory.dmp

memory/1788-269-0x0000000076F60000-0x000000007707F000-memory.dmp

memory/1568-272-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2880-273-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/1788-271-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1788-270-0x0000000076E60000-0x0000000076F5A000-memory.dmp

memory/2840-278-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2020-280-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2880-283-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2864-282-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-281-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/1892-279-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2680-286-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3064-293-0x00000000001E0000-0x00000000001FF000-memory.dmp

memory/1120-292-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2900-291-0x0000000000400000-0x000000000041F000-memory.dmp

memory/772-374-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1788-479-0x0000000076F60000-0x000000007707F000-memory.dmp

memory/2984-703-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1064-747-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1064-743-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1280-875-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/1280-876-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/1132-904-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1788-1081-0x0000000076F60000-0x000000007707F000-memory.dmp

memory/3068-1124-0x0000000000220000-0x0000000000230000-memory.dmp

memory/3068-1123-0x0000000000220000-0x0000000000230000-memory.dmp

memory/484-1293-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2076-1445-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2076-1444-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1644-1633-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/1292-1706-0x00000000003A0000-0x00000000003B0000-memory.dmp

memory/1744-1899-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1744-1898-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1128-1915-0x0000000000220000-0x0000000000230000-memory.dmp

memory/3052-1987-0x0000000000220000-0x0000000000230000-memory.dmp

memory/3052-1986-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1804-2053-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1804-2054-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1924-2075-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1924-2074-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1128-2247-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1128-2246-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2500-2255-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2500-2254-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2116-2435-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1552-2514-0x00000000003B0000-0x00000000003C0000-memory.dmp

memory/1552-2515-0x00000000003B0000-0x00000000003C0000-memory.dmp

memory/1368-2651-0x0000000000220000-0x0000000000230000-memory.dmp

memory/984-2655-0x0000000000220000-0x0000000000230000-memory.dmp

memory/984-2654-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1064-2802-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1064-2803-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2216-2945-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1448-3019-0x00000000003A0000-0x00000000003B0000-memory.dmp

memory/3044-3115-0x0000000000220000-0x0000000000230000-memory.dmp

memory/3044-3117-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1552-3170-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1552-3171-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1788-3389-0x0000000076F60000-0x000000007707F000-memory.dmp

memory/1788-3390-0x0000000076E60000-0x0000000076F5A000-memory.dmp

memory/2584-3554-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/1788-3564-0x0000000076F60000-0x000000007707F000-memory.dmp

memory/1788-3565-0x0000000076E60000-0x0000000076F5A000-memory.dmp

memory/2760-3571-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2760-3570-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/3032-3597-0x00000000003B0000-0x00000000003C0000-memory.dmp

memory/3032-3596-0x00000000003B0000-0x00000000003C0000-memory.dmp

memory/2168-3922-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2572-3925-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2168-3921-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2572-3926-0x0000000000220000-0x0000000000230000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-11-09 23:00

Reported

2024-11-09 23:02

Platform

win10v2004-20241007-en

Max time kernel

27s

Max time network

97s

Command Line

"C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A

Modifies system executable filetype association

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A

Modifies Internet Explorer settings

adware spyware
Description Indicator Process Target
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\Software\Microsoft\Internet Explorer\Toolbar C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\Locked = "1" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ITBar7Layout = 13000000000000000000000020000000100000000000000001000000010700005e01000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 C:\Windows\explorer.exe N/A

Modifies registry class

Description Indicator Process Target
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 56003100000000004759d24912004170704461746100400009000400efbe4759d249695907b82e00000065e101000000010000000000000000000000000000004f88a8004100700070004400610074006100000016000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 50003100000000004759c44b10004c6f63616c003c0009000400efbe4759d249695907b82e00000078e10100000001000000000000000000000000000000defdd4004c006f00630061006c00000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Documents" C:\Windows\explorer.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{4336a54d-038b-4685-ab02-99bb52d3fb8b}\Instance\ C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 78003100000000004759d2491100557365727300640009000400efbe874f7748695907b82e000000c70500000000010000000000000000003a000000000054d6b60055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}\Instance\ C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 50003100000000004759524f100041646d696e003c0009000400efbe4759d249695907b82e0000005ae1010000000100000000000000000000000000000002f95700410064006d0069006e00000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4e00310000000000695907b8100054656d7000003a0009000400efbe4759d249695907b82e00000079e101000000010000000000000000000000000000004b29f000540065006d007000000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = cc00310000000000695907b816004231423132317e310000b40009000400efbe695907b8695907b82e000000713c020000000b0000000000000000000000000000004b29f00062003100620031003200310065003300650035006600330037003100660030003400650039003300380062003800360036006500620031003900330030006300660039006100630035003700340039003600630033006600650062003300340032003100380036006600380034006200320033003600370066006300620062004e00000018000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2878641211-696417878-3864914810-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A

Suspicious behavior: AddClipboardFormatListener

Description Indicator Process Target
N/A N/A C:\Windows\explorer.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\explorer.exe N/A
N/A N/A C:\Windows\explorer.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 4824 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 4824 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 4824 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\explorer.exe
PID 4824 wrote to memory of 4240 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 4824 wrote to memory of 4240 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 4824 wrote to memory of 4240 N/A C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 4240 wrote to memory of 1896 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 4240 wrote to memory of 1896 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 4240 wrote to memory of 1896 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 4240 wrote to memory of 4628 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 4240 wrote to memory of 4628 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 4240 wrote to memory of 4628 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 4628 wrote to memory of 2072 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 4628 wrote to memory of 2072 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 4628 wrote to memory of 2072 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 4628 wrote to memory of 5076 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 4628 wrote to memory of 5076 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 4628 wrote to memory of 5076 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 4628 wrote to memory of 624 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 4628 wrote to memory of 624 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 4628 wrote to memory of 624 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 624 wrote to memory of 628 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 624 wrote to memory of 628 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 624 wrote to memory of 628 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 624 wrote to memory of 4392 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 624 wrote to memory of 4392 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 624 wrote to memory of 4392 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 624 wrote to memory of 3120 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 624 wrote to memory of 3120 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 624 wrote to memory of 3120 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 624 wrote to memory of 2884 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 624 wrote to memory of 2884 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 624 wrote to memory of 2884 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2884 wrote to memory of 1416 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 1416 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 1416 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 1044 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2884 wrote to memory of 1044 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2884 wrote to memory of 1044 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2884 wrote to memory of 4484 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2884 wrote to memory of 4484 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2884 wrote to memory of 4484 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2884 wrote to memory of 924 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 924 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 924 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 4628 wrote to memory of 928 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 4628 wrote to memory of 928 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 4628 wrote to memory of 928 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 2884 wrote to memory of 4412 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 4412 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2884 wrote to memory of 4412 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 624 wrote to memory of 4068 N/A C:\Windows\SVCHOST.EXE C:\Windows\System32\WaaSMedicAgent.exe
PID 624 wrote to memory of 4068 N/A C:\Windows\SVCHOST.EXE C:\Windows\System32\WaaSMedicAgent.exe
PID 624 wrote to memory of 4068 N/A C:\Windows\SVCHOST.EXE C:\Windows\System32\WaaSMedicAgent.exe
PID 4240 wrote to memory of 4380 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE
PID 4240 wrote to memory of 4380 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE
PID 4240 wrote to memory of 4380 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE
PID 2884 wrote to memory of 2232 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2884 wrote to memory of 2232 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2884 wrote to memory of 2232 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 624 wrote to memory of 4004 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 624 wrote to memory of 4004 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 624 wrote to memory of 4004 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 4240 wrote to memory of 876 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE

Processes

C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe

"C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN.exe"

C:\Windows\SysWOW64\explorer.exe

explorer C:\Users\Admin\AppData\Local\Temp\b1b121e3e5f371f04e938b866eb1930cf9ac57496c3feb342186f84b2367fcbbN\

C:\Windows\explorer.exe

C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\System32\rundll32.exe

C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\System32\WaaSMedicAgent.exe

C:\Windows\System32\WaaSMedicAgent.exe f4141e353c1f68eee99d494d437e3388 vDaqZvHrkku7Mg/PzBj2Jg.0.1.0.0.0

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\System32\mousocoreworker.exe

C:\Windows\System32\mousocoreworker.exe -Embedding

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\System32\sihclient.exe

C:\Windows\System32\sihclient.exe /cv vDaqZvHrkku7Mg/PzBj2Jg.0.2

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe

C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe -Embedding

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

Network

Country Destination Domain Proto
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
US 8.8.8.8:53 28.118.140.52.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 73.31.126.40.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 209.205.72.20.in-addr.arpa udp
US 8.8.8.8:53 200.163.202.172.in-addr.arpa udp
US 8.8.8.8:53 198.187.3.20.in-addr.arpa udp
US 8.8.8.8:53 99.209.201.84.in-addr.arpa udp
US 8.8.8.8:53 83.210.23.2.in-addr.arpa udp
US 8.8.8.8:53 172.214.232.199.in-addr.arpa udp
US 8.8.8.8:53 48.229.111.52.in-addr.arpa udp

Files

memory/4824-0-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SysWOW64\EBRR.EXE

MD5 522975e9c690e97dbbcff26ca15dcc0f
SHA1 857ac1af372096f70977cb43ed579426d6e1754e
SHA256 7e9064cc07b516a7153a8be5923bef2bd1fb3a3463079cb8f018307d578a059f
SHA512 ede5f1842b13908632d9e6c803a163eee22648c5fb5f21a35b3197811c2910454d2a60605c82bf0bb86d4fcfb16c97a5a679014ac767329895bfea4db0d78264

memory/4240-11-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1896-21-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SysWOW64\mmtask.exe

MD5 3474bfe789451b8085183649b107b754
SHA1 bd0fc8fba1998d94bfdefcf518126d638d11cae8
SHA256 42014857130da2bb2d10bf99c84f7f8febacad4ae9977a09162c453ea5237538
SHA512 61a48cc8e0ffc0a1b6dec18e342c29d1e6bdce851265ea17a4f71f4e034e77f3f3cf47e8d042b6e561d9a246f817b91f0aff84d062749fc5a116e04173f721c8

memory/4628-24-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2072-32-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SVCHOST.EXE

MD5 5ed734fea2b06e637cc135660ec66b79
SHA1 9b0caaf9991d43918edb0236a2a7d25d17291aae
SHA256 ed96501620d9a533727bdc7b1181a4e6ad9b28a2147f705d4bb47a73f101ab34
SHA512 17d6bd0b6746b372382fd86a8dd51a00623d83a039479391fe06dbb1413930762ba74e56d6914ab71c0cf68201a168109a5709cd128e4c33f023a16314396716

memory/624-42-0x0000000000400000-0x000000000041F000-memory.dmp

memory/5076-43-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4392-50-0x0000000000400000-0x000000000041F000-memory.dmp

memory/628-51-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4392-56-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3120-62-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\System\SVCHOST.EXE

MD5 7e1915efd659628052f9b2431b265fe2
SHA1 f9e3345e337e1c6c5efc33adaf5d02f9d086ae1b
SHA256 05b476f2a99d340b2b4bb94b79b5678afb5b47a1b0722e2945940379fd5606ee
SHA512 fae08d40db4e17be841bdd1425c0723b9ee2176d35658561c18a5ed84d0d10489b1d4c1476a3d891485722da2e22fbf95cdf4f03d4212b35d552b93199a0efd9

memory/2884-68-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4824-66-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4240-71-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1416-75-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4628-79-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1044-81-0x0000000000400000-0x000000000041F000-memory.dmp

memory/924-84-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4484-86-0x0000000000400000-0x000000000041F000-memory.dmp

memory/924-89-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4412-95-0x0000000000400000-0x000000000041F000-memory.dmp

memory/624-94-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4380-104-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4412-106-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4380-111-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4068-109-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2884-108-0x0000000000400000-0x000000000041F000-memory.dmp

memory/928-103-0x0000000000400000-0x000000000041F000-memory.dmp

memory/876-123-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2232-126-0x0000000000400000-0x000000000041F000-memory.dmp

memory/868-129-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4004-128-0x0000000000400000-0x000000000041F000-memory.dmp

memory/468-124-0x0000000000400000-0x000000000041F000-memory.dmp

memory/868-146-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1552-149-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1552-157-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2032-161-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4204-159-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3312-154-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2692-151-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4456-150-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3312-142-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4340-143-0x0000000000400000-0x000000000041F000-memory.dmp

memory/468-136-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2292-169-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2228-168-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2292-177-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4952-191-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4352-195-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3840-193-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2192-187-0x0000000000400000-0x000000000041F000-memory.dmp

memory/224-219-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4504-220-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2736-218-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2420-217-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3916-215-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4944-213-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3916-229-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2480-238-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2420-237-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3752-236-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4764-241-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2856-224-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3704-243-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3184-244-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3008-249-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4020-256-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4884-259-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4552-260-0x0000000000400000-0x000000000041F000-memory.dmp

memory/640-270-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2580-278-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4692-287-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1628-288-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3172-292-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3884-286-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2232-284-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3328-277-0x0000000000400000-0x000000000041F000-memory.dmp

memory/556-296-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3172-301-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1108-306-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4736-304-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1348-305-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1552-312-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2608-311-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2032-315-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4424-325-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3016-326-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2392-338-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1112-339-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3144-346-0x0000000000400000-0x000000000041F000-memory.dmp

memory/5084-352-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2240-349-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3972-359-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4508-347-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4740-345-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4872-343-0x0000000000400000-0x000000000041F000-memory.dmp