Analysis
-
max time kernel
73s -
max time network
16s -
platform
windows7_x64 -
resource
win7-20240903-en -
resource tags
arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system -
submitted
13-11-2024 16:46
Static task
static1
Behavioral task
behavioral1
Sample
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe
Resource
win7-20240903-en
Behavioral task
behavioral2
Sample
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe
Resource
win10v2004-20241007-en
General
-
Target
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe
-
Size
92KB
-
MD5
4e326a2d8ba7ce07f77a16eda1694e86
-
SHA1
c28ee1cd1a10ab67adce0e41b407181c5782691c
-
SHA256
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766
-
SHA512
c90d22f6d1a081249578f01e41075b4c7f9583066a165cf7cd5c1b47dd48653db886c508b889c81b79295ded0a1ccffe460b3b49121a0265247ecb7550bf7d43
-
SSDEEP
768:4zW4wnebSdDlmkok6lRGXu+jKZAOWjpiRHVAGr4PzpyRAJ7IwnDoSdA:41bC4Bk6lMTOWw4PkRAPoD
Malware Config
Signatures
-
Modifies WinLogon for persistence 2 TTPs 10 IoCs
Processes:
SVCHOST.EXE4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXEmmtask.exeSVCHOST.EXEdescription ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" EBRR.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" mmtask.exe Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" EBRR.EXE Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" SVCHOST.EXE -
Executes dropped EXE 64 IoCs
Processes:
EBRR.EXEEBRR.EXEmmtask.exeEBRR.EXEmmtask.exeSVCHOST.EXEEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEEBRR.EXEEBRR.EXESVCHOST.EXEmmtask.exemmtask.exeSVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXEEBRR.EXEmmtask.exeEBRR.EXEmmtask.exeEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exeEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXEmmtask.exeEBRR.EXESVCHOST.EXESVCHOST.EXEEBRR.EXEEBRR.EXEmmtask.exeSVCHOST.EXEmmtask.exemmtask.exeSVCHOST.EXESVCHOST.EXESVCHOST.EXEEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exeSVCHOST.EXEEBRR.EXESVCHOST.EXEEBRR.EXESVCHOST.EXEmmtask.exeEBRR.EXEpid Process 2776 EBRR.EXE 2564 EBRR.EXE 2792 mmtask.exe 2832 EBRR.EXE 2676 mmtask.exe 2600 SVCHOST.EXE 2868 EBRR.EXE 2912 mmtask.exe 2064 SVCHOST.EXE 1196 SVCHOST.EXE 264 EBRR.EXE 2740 mmtask.exe 1520 SVCHOST.EXE 2000 SVCHOST.EXE 2128 EBRR.EXE 1600 EBRR.EXE 2180 SVCHOST.EXE 2968 mmtask.exe 2404 mmtask.exe 1100 SVCHOST.EXE 1856 SVCHOST.EXE 2444 SVCHOST.EXE 952 SVCHOST.EXE 1700 SVCHOST.EXE 2008 SVCHOST.EXE 2980 EBRR.EXE 808 mmtask.exe 2144 EBRR.EXE 532 mmtask.exe 1440 EBRR.EXE 2472 SVCHOST.EXE 3004 SVCHOST.EXE 1844 mmtask.exe 2636 EBRR.EXE 2100 mmtask.exe 1424 SVCHOST.EXE 2932 SVCHOST.EXE 2748 SVCHOST.EXE 2812 SVCHOST.EXE 1832 SVCHOST.EXE 1720 mmtask.exe 2120 EBRR.EXE 2752 SVCHOST.EXE 884 SVCHOST.EXE 2596 EBRR.EXE 2724 EBRR.EXE 2808 mmtask.exe 2836 SVCHOST.EXE 3032 mmtask.exe 1572 mmtask.exe 276 SVCHOST.EXE 2852 SVCHOST.EXE 2880 SVCHOST.EXE 2908 EBRR.EXE 2884 SVCHOST.EXE 1956 SVCHOST.EXE 2540 mmtask.exe 2616 SVCHOST.EXE 668 EBRR.EXE 484 SVCHOST.EXE 1524 EBRR.EXE 1864 SVCHOST.EXE 2820 mmtask.exe 2236 EBRR.EXE -
Loads dropped DLL 64 IoCs
Processes:
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEpid Process 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 1196 SVCHOST.EXE 2792 mmtask.exe 1196 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2792 mmtask.exe 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2776 EBRR.EXE 2776 EBRR.EXE 2792 mmtask.exe 2776 EBRR.EXE 2792 mmtask.exe 2776 EBRR.EXE 1196 SVCHOST.EXE 2600 SVCHOST.EXE 1196 SVCHOST.EXE 2600 SVCHOST.EXE 2792 mmtask.exe 2792 mmtask.exe 1196 SVCHOST.EXE 1196 SVCHOST.EXE 2776 EBRR.EXE 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2792 mmtask.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2776 EBRR.EXE 2776 EBRR.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe -
Modifies system executable filetype association 2 TTPs 5 IoCs
Processes:
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEdescription ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" EBRR.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE -
Drops file in System32 directory 20 IoCs
Processes:
mmtask.exeSVCHOST.EXE4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXESVCHOST.EXEdescription ioc Process File created C:\Windows\SysWOW64\EBRR.EXE mmtask.exe File created C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File created C:\Windows\SysWOW64\EBRR.EXE EBRR.EXE File created C:\Windows\SysWOW64\mmtask.exe mmtask.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe mmtask.exe File opened for modification C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File created C:\Windows\SysWOW64\mmtask.exe 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File created C:\Windows\SysWOW64\EBRR.EXE 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe EBRR.EXE File created C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE EBRR.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE mmtask.exe File created C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File created C:\Windows\SysWOW64\mmtask.exe EBRR.EXE File created C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE -
Drops file in Windows directory 20 IoCs
Processes:
EBRR.EXE4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeSVCHOST.EXESVCHOST.EXEmmtask.exedescription ioc Process File opened for modification C:\Windows\SVCHOST.EXE EBRR.EXE File created C:\Windows\SVCHOST.EXE 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File opened for modification C:\Windows\SVCHOST.EXE 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File opened for modification C:\Windows\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\system\SVCHOST.EXE mmtask.exe File opened for modification C:\Windows\system\SVCHOST.EXE mmtask.exe File created C:\Windows\system\SVCHOST.EXE EBRR.EXE File created C:\Windows\system\SVCHOST.EXE 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe File created C:\Windows\SVCHOST.EXE mmtask.exe File opened for modification C:\Windows\SVCHOST.EXE mmtask.exe File created C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\SVCHOST.EXE EBRR.EXE File created C:\Windows\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE EBRR.EXE File opened for modification C:\Windows\system\SVCHOST.EXE 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe -
System Location Discovery: System Language Discovery 1 TTPs 64 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
Processes:
SVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXEmmtask.exeSVCHOST.EXEmmtask.exemmtask.exeSVCHOST.EXEmmtask.exeSVCHOST.EXEmmtask.exeEBRR.EXEEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exedescription ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language -
Processes:
explorer.exedescription ioc Process Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Internet Explorer\Toolbar explorer.exe Set value (int) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000\Software\Microsoft\Internet Explorer\Toolbar\Locked = "1" explorer.exe -
Modifies registry class 43 IoCs
Processes:
explorer.exeEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXE4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exedescription ioc Process Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_Classes\Local Settings explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Pictures" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" EBRR.EXE Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 4c003100000000002359632e100041646d696e00380008000400efbe2359a8292359632e2a00000030000000000004000000000000000000000000000000410064006d0069006e00000014000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" mmtask.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 52003100000000002359a829122041707044617461003c0008000400efbe2359a8292359a8292a000000eb0100000000020000000000000000000000000000004100700070004400610074006100000016000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 4c003100000000002359d72a10204c6f63616c00380008000400efbe2359a8292359d72a2a000000fe0100000000020000000000000000000000000000004c006f00630061006c00000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4a003100000000006d59d785102054656d700000360008000400efbe2359a8296d59d7852a000000ff010000000002000000000000000000000000000000540065006d007000000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (int) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 74003100000000002359a8291100557365727300600008000400efbeee3a851a2359a8292a000000e601000000000100000000000000000036000000000055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = c6003100000000006d59d78516003442453945347e310000ae0008000400efbe6d59d7856d59d7852a000000d28601000000090000000000000000000000000000003400620065003900650034003400390035003100300037003900330036003000640063006500310062003500320036006200630031006400640033003800380033003000660063003300340036006200330061003800320066006300330063003900340066003800310031003200640063006100360062003100370036003600000018000000 explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-3533259084-2542256011-65585152-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\KnownFolderDerivedFolderType = "{57807898-8C4F-4462-BB63-71042380B109}" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe -
Suspicious behavior: EnumeratesProcesses 64 IoCs
Processes:
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEpid Process 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2776 EBRR.EXE 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2792 mmtask.exe 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 1196 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE 2600 SVCHOST.EXE -
Suspicious use of SetWindowsHookEx 64 IoCs
Processes:
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXEEBRR.EXEmmtask.exeEBRR.EXEmmtask.exeSVCHOST.EXEEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEEBRR.EXEEBRR.EXEmmtask.exemmtask.exeSVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXEEBRR.EXEmmtask.exemmtask.exeEBRR.EXEEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exeSVCHOST.EXEEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEmmtask.exeSVCHOST.EXEEBRR.EXESVCHOST.EXEEBRR.EXEEBRR.EXEmmtask.exeSVCHOST.EXEmmtask.exemmtask.exeSVCHOST.EXESVCHOST.EXESVCHOST.EXESVCHOST.EXEEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exeEBRR.EXESVCHOST.EXESVCHOST.EXEmmtask.exeEBRR.EXEpid Process 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 2776 EBRR.EXE 2564 EBRR.EXE 2792 mmtask.exe 2832 EBRR.EXE 2676 mmtask.exe 2600 SVCHOST.EXE 2868 EBRR.EXE 2912 mmtask.exe 2064 SVCHOST.EXE 1196 SVCHOST.EXE 264 EBRR.EXE 2740 mmtask.exe 1520 SVCHOST.EXE 2000 SVCHOST.EXE 2128 EBRR.EXE 1600 EBRR.EXE 2404 mmtask.exe 2968 mmtask.exe 2180 SVCHOST.EXE 1100 SVCHOST.EXE 1856 SVCHOST.EXE 2444 SVCHOST.EXE 952 SVCHOST.EXE 1700 SVCHOST.EXE 2008 SVCHOST.EXE 2980 EBRR.EXE 808 mmtask.exe 532 mmtask.exe 2144 EBRR.EXE 1440 EBRR.EXE 2472 SVCHOST.EXE 3004 SVCHOST.EXE 1844 mmtask.exe 1424 SVCHOST.EXE 2636 EBRR.EXE 2748 SVCHOST.EXE 2932 SVCHOST.EXE 2100 mmtask.exe 2812 SVCHOST.EXE 1832 SVCHOST.EXE 1720 mmtask.exe 2752 SVCHOST.EXE 2120 EBRR.EXE 884 SVCHOST.EXE 2596 EBRR.EXE 2724 EBRR.EXE 2808 mmtask.exe 2836 SVCHOST.EXE 3032 mmtask.exe 1572 mmtask.exe 276 SVCHOST.EXE 2852 SVCHOST.EXE 2880 SVCHOST.EXE 2884 SVCHOST.EXE 2908 EBRR.EXE 1956 SVCHOST.EXE 2616 SVCHOST.EXE 2540 mmtask.exe 668 EBRR.EXE 484 SVCHOST.EXE 1864 SVCHOST.EXE 2820 mmtask.exe 1524 EBRR.EXE -
Suspicious use of WriteProcessMemory 64 IoCs
Processes:
4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exeEBRR.EXEmmtask.exeSVCHOST.EXESVCHOST.EXEdescription pid Process procid_target PID 2352 wrote to memory of 2648 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 31 PID 2352 wrote to memory of 2648 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 31 PID 2352 wrote to memory of 2648 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 31 PID 2352 wrote to memory of 2648 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 31 PID 2352 wrote to memory of 2776 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 33 PID 2352 wrote to memory of 2776 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 33 PID 2352 wrote to memory of 2776 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 33 PID 2352 wrote to memory of 2776 2352 4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe 33 PID 2776 wrote to memory of 2564 2776 EBRR.EXE 34 PID 2776 wrote to memory of 2564 2776 EBRR.EXE 34 PID 2776 wrote to memory of 2564 2776 EBRR.EXE 34 PID 2776 wrote to memory of 2564 2776 EBRR.EXE 34 PID 2776 wrote to memory of 2792 2776 EBRR.EXE 35 PID 2776 wrote to memory of 2792 2776 EBRR.EXE 35 PID 2776 wrote to memory of 2792 2776 EBRR.EXE 35 PID 2776 wrote to memory of 2792 2776 EBRR.EXE 35 PID 2792 wrote to memory of 2832 2792 mmtask.exe 36 PID 2792 wrote to memory of 2832 2792 mmtask.exe 36 PID 2792 wrote to memory of 2832 2792 mmtask.exe 36 PID 2792 wrote to memory of 2832 2792 mmtask.exe 36 PID 2792 wrote to memory of 2676 2792 mmtask.exe 37 PID 2792 wrote to memory of 2676 2792 mmtask.exe 37 PID 2792 wrote to memory of 2676 2792 mmtask.exe 37 PID 2792 wrote to memory of 2676 2792 mmtask.exe 37 PID 2792 wrote to memory of 2600 2792 mmtask.exe 38 PID 2792 wrote to memory of 2600 2792 mmtask.exe 38 PID 2792 wrote to memory of 2600 2792 mmtask.exe 38 PID 2792 wrote to memory of 2600 2792 mmtask.exe 38 PID 2600 wrote to memory of 2868 2600 SVCHOST.EXE 39 PID 2600 wrote to memory of 2868 2600 SVCHOST.EXE 39 PID 2600 wrote to memory of 2868 2600 SVCHOST.EXE 39 PID 2600 wrote to memory of 2868 2600 SVCHOST.EXE 39 PID 2600 wrote to memory of 2912 2600 SVCHOST.EXE 40 PID 2600 wrote to memory of 2912 2600 SVCHOST.EXE 40 PID 2600 wrote to memory of 2912 2600 SVCHOST.EXE 40 PID 2600 wrote to memory of 2912 2600 SVCHOST.EXE 40 PID 2600 wrote to memory of 2064 2600 SVCHOST.EXE 41 PID 2600 wrote to memory of 2064 2600 SVCHOST.EXE 41 PID 2600 wrote to memory of 2064 2600 SVCHOST.EXE 41 PID 2600 wrote to memory of 2064 2600 SVCHOST.EXE 41 PID 2600 wrote to memory of 1196 2600 SVCHOST.EXE 43 PID 2600 wrote to memory of 1196 2600 SVCHOST.EXE 43 PID 2600 wrote to memory of 1196 2600 SVCHOST.EXE 43 PID 2600 wrote to memory of 1196 2600 SVCHOST.EXE 43 PID 1196 wrote to memory of 264 1196 SVCHOST.EXE 44 PID 1196 wrote to memory of 264 1196 SVCHOST.EXE 44 PID 1196 wrote to memory of 264 1196 SVCHOST.EXE 44 PID 1196 wrote to memory of 264 1196 SVCHOST.EXE 44 PID 1196 wrote to memory of 2740 1196 SVCHOST.EXE 45 PID 1196 wrote to memory of 2740 1196 SVCHOST.EXE 45 PID 1196 wrote to memory of 2740 1196 SVCHOST.EXE 45 PID 1196 wrote to memory of 2740 1196 SVCHOST.EXE 45 PID 1196 wrote to memory of 1520 1196 SVCHOST.EXE 46 PID 1196 wrote to memory of 1520 1196 SVCHOST.EXE 46 PID 1196 wrote to memory of 1520 1196 SVCHOST.EXE 46 PID 1196 wrote to memory of 1520 1196 SVCHOST.EXE 46 PID 1196 wrote to memory of 2000 1196 SVCHOST.EXE 98 PID 1196 wrote to memory of 2000 1196 SVCHOST.EXE 98 PID 1196 wrote to memory of 2000 1196 SVCHOST.EXE 98 PID 1196 wrote to memory of 2000 1196 SVCHOST.EXE 98 PID 2600 wrote to memory of 2128 2600 SVCHOST.EXE 48 PID 2600 wrote to memory of 2128 2600 SVCHOST.EXE 48 PID 2600 wrote to memory of 2128 2600 SVCHOST.EXE 48 PID 2600 wrote to memory of 2128 2600 SVCHOST.EXE 48
Processes
-
C:\Users\Admin\AppData\Local\Temp\4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe"C:\Users\Admin\AppData\Local\Temp\4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766.exe"1⤵
- Modifies WinLogon for persistence
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2352 -
C:\Windows\SysWOW64\explorer.exeexplorer C:\Users\Admin\AppData\Local\Temp\4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766\2⤵PID:2648
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2776 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2564
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2792 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2832
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2676
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2600 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2912
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2064
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1196 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:264
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2740
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1520
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2000
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1600
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2404
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1100
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2444
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:1844
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2748
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2812
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2884
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1956
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
PID:2236
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2368
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2200
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2168
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2364
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2784
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2756
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:584
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3064
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2860
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2624
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1600
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2236
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2368
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2844
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1904
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:812
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2716
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2856
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2592
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1624
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2880
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1132
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1848
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2260
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1144
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2148
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1972
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2680
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2812
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:236
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2620
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1956
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1036
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1604
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1876
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:672
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1936
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:816
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2700
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1764
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1736
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1408
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2616
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1288
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2444
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1508
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2104
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2664
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2680
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3024
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:236
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2852
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1732
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2392
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1008
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2412
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1628
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2560
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- System Location Discovery: System Language Discovery
PID:2612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2384
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2728
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1420
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2852
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2724
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2404
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2080
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2200
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1464
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1888
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2056
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2100
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1628
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2648
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1040
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1524
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2900
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1536
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2208
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1772
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2148
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1696
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:796
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2104
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1692
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1584
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2800
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2672
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1416
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2596
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2012
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1432
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1420
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2228
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1600
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:264
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1984
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2800
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2988
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2612
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2620
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1572
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1404
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:328
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2084
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2328
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1128
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1600
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1784
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:268
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2376
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1952
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1240
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1624
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2588
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1132
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1432
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2084
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2248
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1736
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2072
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1856
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:840
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2296
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1508
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1464
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:532
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:884
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:684
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2612
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2064
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2676
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2044
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2644
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1536
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2908
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1408
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1480
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:952
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1360
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1512
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:812
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1224
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2856
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1416
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2756
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3064
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1404
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1944
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1592
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2968
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1184
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1480
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1996
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2164
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2208
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2168
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2104
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2280
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2824
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2716
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:568
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2736
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2616
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1732
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1968
-
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2128
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2968
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1856
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:884
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2836
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:668
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2820
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1948
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1664
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:808
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2996
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1256
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1416
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3040
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3052
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2084
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2260
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1604
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2344
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1008
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:324
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1516
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2800
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2056
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3004
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2824
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2576
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2388
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1960
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1736
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2040
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:284
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2820
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2844
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1780
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2184
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2716
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2672
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1416
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3032
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2004
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:264
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2532
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2664
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2680
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1532
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2716
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2676
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:276
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1132
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2036
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2864
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:848
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1876
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2216
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2820
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:112
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1852
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- System Location Discovery: System Language Discovery
PID:2560
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1632
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2384
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2732
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3064
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:668
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1764
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1536
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2128
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2000
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1772
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2236
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:1712
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1512
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2120
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1840
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2604
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3024
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1640
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:608
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1956
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1404
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2796
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:328
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2244
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:408
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1696
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2820
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2216
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2980
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2800
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2280
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1852
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2756
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:276
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2552
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1944
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2004
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2960
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1464
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2444
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2780
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1364
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2764
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1632
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2280
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:568
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2588
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2552
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:628
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2040
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2900
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1328
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1128
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2180
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1480
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2844
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:324
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2488
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:812
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2056
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:816
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2888
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3040
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2140
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3024
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1976
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2172
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- System Location Discovery: System Language Discovery
PID:1908
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:796
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1464
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:884
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1972
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2472
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2680
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2608
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1640
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2388
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2668
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:748
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2652
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2128
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2292
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2168
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1360
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2104
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:324
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1720
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1416
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2648
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2040
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2084
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2576
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:840
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2972
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2160
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1712
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2772
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2888
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1964
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3052
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2752
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2064
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1244
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1420
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2616
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2740
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2576
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2272
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1408
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1856
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1100
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1464
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1424
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2924
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1852
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:596
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1640
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2464
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3044
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2312
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1608
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2080
-
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2180
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2144
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2100
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2752
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2908
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2540
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1864
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2268
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:112
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2556
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- System Location Discovery: System Language Discovery
PID:2856
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1968
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2388
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1640
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:904
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1976
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2532
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2456
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:112
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1300
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2100
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1860
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2552
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2632
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2616
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2272
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1596
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1856
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1952
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:812
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:1912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1948
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3008
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2444
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1508
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1424
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2364
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2668
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2900
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1996
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:264
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2148
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:888
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:816
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1628
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2716
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2636
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2928
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1132
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2796
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1244
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1600
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2080
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1000
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2972
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2980
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:468
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1868
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1364
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2632
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1528
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2620
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2588
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2740
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1916
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2992
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1424
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2812
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2620
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2732
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2384
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2172
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2652
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1408
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:672
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2556
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2168
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2216
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:776
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1440
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:572
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2364
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3064
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3060
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1524
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2244
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2300
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1876
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1784
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2296
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1884
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:468
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:784
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1012
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2672
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2604
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1612
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1452
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3004
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2912
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1616
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2908
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1408
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2080
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2536
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:672
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2104
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:468
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2832
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2836
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2044
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2732
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2220
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1520
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1864
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1408
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1712
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2516
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1780
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2752
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:608
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2588
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2912
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2220
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2540
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1328
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2864
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2072
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2556
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2760
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:324
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2692
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2896
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3000
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:3060
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1968
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2244
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2820
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2892
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:268
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1360
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1584
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:816
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2832
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2012
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2916
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2604
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2676
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2884
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1644
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1000
-
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:952
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2472
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2932
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3032
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2852
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2616
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1828
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1008
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1288
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2296
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:812
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2212
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2900
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:284
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2616
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2036
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2968
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2276
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:672
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1972
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:596
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1628
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2692
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1612
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:904
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2540
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1684
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1244
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1100
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1696
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2072
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1012
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2848
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2612
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3036
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1736
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2972
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1288
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:532
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2772
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:884
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1628
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2836
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2552
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2876
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2732
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2908
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1592
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1100
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2992
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1972
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1436
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1840
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2940
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2184
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1624
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2916
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2228
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2652
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:408
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:952
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2144
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2844
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:532
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1012
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:816
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2940
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2552
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2064
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1520
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2228
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2136
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1732
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:960
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:840
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3008
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1000
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:776
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2584
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2924
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2696
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1624
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2028
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2452
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2272
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2536
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2532
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1936
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2516
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1972
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2856
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2140
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3000
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3024
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1960
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2736
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1564
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2404
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2000
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1360
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:672
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1008
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1596
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:888
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1436
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:1440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2752
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1964
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2896
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2588
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1580
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:836
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2128
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1864
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2096
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2276
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2200
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:448
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1224
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1780
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:784
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2412
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2636
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2728
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3064
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1184
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:1616
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2080
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1004
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:796
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1888
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1628
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3028
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2856
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2136
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3000
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1132
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3060
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2668
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1912
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2860
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1128
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2180
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:960
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:796
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1936
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1628
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2212
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2460
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1040
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:276
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3024
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2328
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:848
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2344
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2076
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1908
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2780
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2556
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2412
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2800
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2120
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2552
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1624
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2228
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2540
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2900
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2820
-
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:808
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3004
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1424
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2120
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2808
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:276
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1524
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2000
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2136
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2148
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2700
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2816
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2724
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2736
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1864
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1876
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2376
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:448
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1780
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2996
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1436
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2784
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- System Location Discovery: System Language Discovery
PID:2568
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2728
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2868
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2312
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2508
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1288
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1512
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2472
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1528
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2552
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1240
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2884
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:592
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:284
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2244
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2536
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2376
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2168
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1868
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2932
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1972
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3004
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2808
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2288
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3060
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2392
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2188
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1144
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2076
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1672
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:324
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2780
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2548
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1432
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3060
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2552
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2044
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1128
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2208
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2188
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1360
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1908
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2216
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1224
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:684
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2952
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1852
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2720
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3060
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1040
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2084
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2392
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1784
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2456
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2164
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2444
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1936
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1904
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2888
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2772
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1416
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2656
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2728
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1684
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:284
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2240
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1968
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:264
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2368
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1100
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:784
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2824
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2784
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2412
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2632
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3036
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2732
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1580
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1912
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2312
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2624
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:848
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2072
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2268
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2176
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1584
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2664
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2764
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2412
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2716
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2728
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2656
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2576
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1732
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1144
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:840
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1364
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2980
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2744
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2136
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2648
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3000
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1612
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2872
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1912
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2508
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2864
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1724
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2148
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1772
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1672
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1664
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2672
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2596
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2032
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2620
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1420
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2172
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:748
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1184
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1700
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2128
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2292
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2104
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1672
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1780
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2612
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1960
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2384
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2040
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1912
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2084
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2404
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1696
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:796
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1256
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:468
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:324
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2560
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1240
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2524
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2648
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2364
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2656
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1520
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1036
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:636
-
-
C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding1⤵
- Modifies Internet Explorer settings
- Modifies registry class
PID:2704
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
1Winlogon Helper DLL
1Event Triggered Execution
1Change Default File Association
1Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\4be9e44951079360dce1b526bc1dd38830fc346b3a82fc3c94f8112dca6b1766\Cantik.bmp
Filesize64KB
MD57ab9246655e40e5d922e1f92560128f5
SHA1a989d0611485d2429f5b33a4124126415b02390f
SHA2563ed10a9452b56114f9f6fb3f65f02e8d6b906897271793e4b410c08e3bde9772
SHA5123fe741419bc727d23f18b0979dbadeaa69d418a7f290c816afaf2c4eabd1475ff4f7b543ea699e93f0dce96592e058a55e7a9f0aa3094c200a863df40c4b2c50
-
Filesize
92KB
MD564ef9d6acfc7f25a2c4f29a058810adb
SHA12b271ca7a9141683e9666ba6e634e24ba828b831
SHA25676354dfce063c602aefb2475ecae5736a3368a1b18e79ffc00a1e8da719f0a05
SHA512f67e8ab0e2135653a58ba6e4823e236307869cee143f1d86bab115059fe80c70155c61a645950e8f83cadc373cb599ccb97ba22877de3a30a250014dc02672ae
-
Filesize
92KB
MD5e40fcac171c68503732a9904ac7cbe8e
SHA1ac6c5601f385e1e61208a33318741eeaffebe68d
SHA256f29fc28841660c3c06d8f5bc66e934ab9785a5a967015f57cc6f7e164affe4ea
SHA51277a5dd2764bc5a2d4dfe892637fd071ea1118d9a395ddac19419da82a5baaa79d0f406308a9b70ba5c92b731ea08650e18913e89a97b6a01e1a28e005b1d1563
-
Filesize
92KB
MD577b8a252872a8c6ab1c8ff462d5db0ae
SHA1a75d9694d1566091f381bd6295c3004f71b9127d
SHA256bfdfba86d8f206c26f439ecc9e9138d1a4a100b8ffdd0213c359944316f601b8
SHA51243cf5b0653ab233f8673d09e657c7e193c533ff0db7603cb4a30efdbb29a4302d9aba4992b876a5da121100252acf50dc14028db3db7544f156d0edf2e8879f1
-
Filesize
92KB
MD5f7e92aa9d919441a94a44805f4274860
SHA167e39ee8746533d9910329296355d80febfc234a
SHA2565b3f860fd31dde7f43952a6e3c2e87b620409ae43c0be7ff7386fcc59ae49093
SHA512f2a7571cde27b06841716c1c449f38c358c9f677224df4822d9263a96f76fdaf28b9feaa7d65d97bac7412b1a424a2a6fba8e4f5d033bf0e2749c4527d36f9aa