Malware Analysis Report

2024-12-07 11:30

Sample ID 241113-wxthbswmfs
Target 65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe
SHA256 65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecb
Tags
discovery persistence
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecb

Threat Level: Known bad

The file 65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe was found to be: Known bad.

Malicious Activity Summary

discovery persistence

Modifies WinLogon for persistence

Executes dropped EXE

Modifies system executable filetype association

Loads dropped DLL

Drops file in System32 directory

Drops file in Windows directory

Unsigned PE

System Location Discovery: System Language Discovery

Modifies Internet Explorer settings

Suspicious use of SetWindowsHookEx

Modifies registry class

Suspicious behavior: EnumeratesProcesses

Suspicious use of WriteProcessMemory

Suspicious behavior: AddClipboardFormatListener

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-11-13 18:18

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-11-13 18:18

Reported

2024-11-13 18:21

Platform

win7-20241010-en

Max time kernel

66s

Max time network

123s

Command Line

"C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A

Modifies system executable filetype association

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File created C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language N/A N/A

Modifies Internet Explorer settings

adware spyware
Description Indicator Process Target
Set value (int) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Internet Explorer\Toolbar\Locked = "1" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000\Software\Microsoft\Internet Explorer\Toolbar C:\Windows\explorer.exe N/A

Modifies registry class

Description Indicator Process Target
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 74003100000000004a59dc441100557365727300600008000400efbeee3a851a4a59dc442a000000e601000000000100000000000000000036000000000055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 4c003100000000004a59ea4b100041646d696e00380008000400efbe4a59dc444a59ea4b2a00000033000000000003000000000000000000000000000000410064006d0069006e00000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 52003100000000004a59dc44122041707044617461003c0008000400efbe4a59dc444a59dc442a000000ed0100000000020000000000000000000000000000004100700070004400610074006100000016000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_Classes\Local Settings C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = c8003100000000006d59509216003635393133427e310000b00008000400efbe6d5950926d5950922a0000002a93010000000800000000000000000000000000000036003500390031003300620030003300370064003200660062003300650038006500650064003700340038003700650038003400300036006500660039003100640039003800390038003300320033003700650064003000390030003500330034006300380031003000360031003900620039003400390032006500630062004e00000018000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\KnownFolderDerivedFolderType = "{57807898-8C4F-4462-BB63-71042380B109}" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Pictures" C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 4c003100000000004a591d4610204c6f63616c00380008000400efbe4a59dc444a591d462a000000000200000000020000000000000000000000000000004c006f00630061006c00000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4a003100000000006d595092102054656d700000360008000400efbe4a59dc446d5950922a00000001020000000002000000000000000000000000000000540065006d007000000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2039016743-699959520-214465309-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 1684 wrote to memory of 2072 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 1684 wrote to memory of 2072 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 1684 wrote to memory of 2072 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 1684 wrote to memory of 2072 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 1684 wrote to memory of 2368 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1684 wrote to memory of 2368 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1684 wrote to memory of 2368 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 1684 wrote to memory of 2368 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2368 wrote to memory of 2436 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2368 wrote to memory of 2436 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2368 wrote to memory of 2436 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2368 wrote to memory of 2436 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2368 wrote to memory of 2396 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2368 wrote to memory of 2396 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2368 wrote to memory of 2396 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2368 wrote to memory of 2396 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2396 wrote to memory of 2832 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 2832 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 2832 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 2832 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 2988 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 2396 wrote to memory of 2988 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 2396 wrote to memory of 2988 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 2396 wrote to memory of 2988 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 2396 wrote to memory of 2904 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 2396 wrote to memory of 2904 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 2396 wrote to memory of 2904 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 2396 wrote to memory of 2904 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 2728 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 2728 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 2728 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 2728 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 2692 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2904 wrote to memory of 2692 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2904 wrote to memory of 2692 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2904 wrote to memory of 2692 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 2904 wrote to memory of 956 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 956 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 956 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 956 N/A C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 2904 wrote to memory of 2944 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2904 wrote to memory of 2944 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2904 wrote to memory of 2944 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2904 wrote to memory of 2944 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 3028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 3028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 3028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 3028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 356 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2944 wrote to memory of 356 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2944 wrote to memory of 356 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2944 wrote to memory of 356 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 2944 wrote to memory of 1268 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 1268 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 1268 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 1268 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 580 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 580 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 580 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2944 wrote to memory of 580 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 2396 wrote to memory of 1804 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 1804 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 1804 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 2396 wrote to memory of 1804 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE

Processes

C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe

"C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe"

C:\Windows\SysWOW64\explorer.exe

explorer C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN\

C:\Windows\explorer.exe

C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

Network

N/A

Files

memory/1684-0-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-10-0x0000000000260000-0x000000000027F000-memory.dmp

\Windows\SysWOW64\EBRR.EXE

MD5 2fd6cb61e5ca6f9192441c51682face1
SHA1 2f5d4f6c7586eebd3ac41ee490b5435c4f697f1f
SHA256 ee6ffb94a5d19883a40324709fb0b25d8159aa0c94ffa0e50282a6939d987ad7
SHA512 188d17a5db1b1450319a8d6d8dd5fc6d96e9007dc3e8f3ccfed068ffcfd44d6a4501ede8182fd3ba6b6c8ddd807d35aea6e01ed1e9421255492a433bfd5dc114

memory/2368-17-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-15-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2436-24-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2436-31-0x0000000000400000-0x000000000041F000-memory.dmp

\Windows\SysWOW64\mmtask.exe

MD5 c124fec6b38cbe3c8bb48fe0eb2dc0ef
SHA1 9b55e1a701986b7086b8209eff4e3d69d121534c
SHA256 45256f6245fbe308ed4695706264f955fcc88f79f25c6cbc41173e8da628f2aa
SHA512 feac3e6c322235d1194980550eae91d69588a1d4da1e2d51aed3604aed52dea0000f7dac94cd286d8671af1f3b5fc31475333b4d52e50472b4df219d425b420b

memory/2396-39-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-44-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2428-49-0x0000000003A10000-0x0000000003A20000-memory.dmp

memory/2832-51-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2396-53-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2368-52-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2368-56-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2368-55-0x00000000002A0000-0x00000000002BF000-memory.dmp

C:\Windows\SVCHOST.EXE

MD5 a59a171cd01ab26b87ed801edf82f64d
SHA1 d9d517681842abf342522223bb701c30c74316cf
SHA256 9421e33c20c2ef4462359f4a9499315d1f44943667a72f2ad05143028240443b
SHA512 04493142b43ddd754cdaff9a780f0b25c9c2f9fe7331e2753442a96d1f1053d21c7c80b93012ab22f171686a93a2b7f18f2535fee98a0c4bddecacb75f31c991

memory/2988-70-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2396-69-0x0000000000270000-0x000000000028F000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN\Cantik.bmp

MD5 7ab9246655e40e5d922e1f92560128f5
SHA1 a989d0611485d2429f5b33a4124126415b02390f
SHA256 3ed10a9452b56114f9f6fb3f65f02e8d6b906897271793e4b410c08e3bde9772
SHA512 3fe741419bc727d23f18b0979dbadeaa69d418a7f290c816afaf2c4eabd1475ff4f7b543ea699e93f0dce96592e058a55e7a9f0aa3094c200a863df40c4b2c50

memory/2904-72-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2396-77-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2728-83-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2692-89-0x0000000000400000-0x000000000041F000-memory.dmp

memory/956-96-0x0000000000400000-0x000000000041F000-memory.dmp

\Windows\system\SVCHOST.EXE

MD5 e1a39019e45fae0bbcb6d04a1b153bb6
SHA1 9881402cfe7e59b3b14a27dcfcb7a43ad1f8e0f0
SHA256 5fbf177581178da3978798b7e163fb29430fea539a0a5939c7fe6dbf08fd3fd6
SHA512 e77a6e67e917f0fb79b9cc755b833601200d22133db98c13d2d03e7262a26e2aba2b4d2935276433f81efd83fa34ab595794b03d3c788f488f4b49402481e231

memory/2904-99-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2904-105-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2944-111-0x0000000000250000-0x000000000026F000-memory.dmp

memory/2944-118-0x0000000000250000-0x000000000026F000-memory.dmp

memory/3028-119-0x0000000000400000-0x000000000041F000-memory.dmp

memory/356-123-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2904-127-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2944-129-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1268-130-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1804-145-0x0000000000400000-0x000000000041F000-memory.dmp

memory/580-142-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2944-138-0x0000000000250000-0x000000000026F000-memory.dmp

memory/1836-183-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1708-186-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2368-190-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2944-172-0x0000000000250000-0x000000000026F000-memory.dmp

memory/2368-195-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2944-194-0x0000000000250000-0x000000000026F000-memory.dmp

memory/2396-208-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2396-207-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2944-206-0x0000000000250000-0x000000000026F000-memory.dmp

memory/2492-198-0x0000000000400000-0x000000000041F000-memory.dmp

memory/976-205-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-209-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2368-204-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2368-203-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2904-193-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/376-192-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1648-191-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1708-182-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2532-170-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1804-169-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2396-168-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2556-167-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1304-165-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2904-160-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2368-219-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/1684-220-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2368-228-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/1624-229-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2268-230-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-236-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2396-235-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2396-234-0x0000000000270000-0x000000000028F000-memory.dmp

memory/1684-245-0x0000000000260000-0x000000000027F000-memory.dmp

memory/1684-248-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2396-247-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2264-233-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2452-232-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2392-249-0x0000000077810000-0x000000007792F000-memory.dmp

memory/2396-265-0x0000000000270000-0x000000000028F000-memory.dmp

memory/1504-255-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1504-254-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2056-253-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2368-252-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2392-251-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2392-250-0x0000000077930000-0x0000000077A2A000-memory.dmp

memory/868-242-0x0000000000400000-0x000000000041F000-memory.dmp

memory/868-241-0x0000000000220000-0x0000000000230000-memory.dmp

memory/868-240-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2368-239-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/1684-238-0x0000000000260000-0x000000000027F000-memory.dmp

memory/1684-237-0x0000000000260000-0x000000000027F000-memory.dmp

memory/1684-264-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2572-263-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1504-258-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-246-0x0000000000260000-0x000000000027F000-memory.dmp

memory/1648-231-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2368-227-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2396-226-0x0000000000270000-0x000000000028F000-memory.dmp

memory/2264-225-0x0000000000400000-0x000000000041F000-memory.dmp

memory/836-218-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2368-159-0x00000000002A0000-0x00000000002BF000-memory.dmp

memory/2944-158-0x0000000000250000-0x000000000026F000-memory.dmp

memory/2904-157-0x00000000003E0000-0x00000000003FF000-memory.dmp

memory/2944-156-0x0000000000250000-0x000000000026F000-memory.dmp

memory/1684-267-0x0000000000260000-0x000000000027F000-memory.dmp

memory/2388-266-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1684-269-0x0000000000260000-0x000000000027F000-memory.dmp

memory/1588-270-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2572-271-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2092-277-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2236-299-0x00000000002B0000-0x00000000002C0000-memory.dmp

memory/2236-298-0x00000000002B0000-0x00000000002C0000-memory.dmp

memory/1412-385-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1412-384-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1908-490-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2400-676-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2400-675-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2840-719-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2840-718-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2952-738-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2240-742-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2660-801-0x00000000001C0000-0x00000000001D0000-memory.dmp

memory/2660-800-0x00000000001C0000-0x00000000001D0000-memory.dmp

memory/1692-833-0x0000000000230000-0x0000000000240000-memory.dmp

memory/1692-832-0x0000000000230000-0x0000000000240000-memory.dmp

memory/2740-1059-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2740-1058-0x0000000000220000-0x0000000000230000-memory.dmp

memory/604-1154-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1504-1237-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1504-1238-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2900-1556-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2900-1557-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/1852-1662-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2912-1841-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2912-1840-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2392-2003-0x0000000077810000-0x000000007792F000-memory.dmp

memory/2856-2002-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2256-2001-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2256-2000-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2200-2146-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2200-2145-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/1124-2149-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1124-2150-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2256-2309-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2256-2310-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2392-2315-0x0000000077810000-0x000000007792F000-memory.dmp

memory/2392-2316-0x0000000077930000-0x0000000077A2A000-memory.dmp

memory/2616-2319-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2616-2318-0x00000000001B0000-0x00000000001C0000-memory.dmp

memory/2340-2326-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2340-2325-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2896-2370-0x00000000002B0000-0x00000000002C0000-memory.dmp

memory/2896-2369-0x00000000002B0000-0x00000000002C0000-memory.dmp

memory/2340-2481-0x0000000000300000-0x0000000000310000-memory.dmp

memory/1552-2508-0x0000000000220000-0x0000000000230000-memory.dmp

memory/1552-2507-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2840-2537-0x0000000000220000-0x0000000000230000-memory.dmp

memory/668-2536-0x0000000000220000-0x0000000000230000-memory.dmp

memory/668-2538-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2976-2550-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2028-2598-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2028-2597-0x0000000000220000-0x0000000000230000-memory.dmp

memory/2392-2625-0x0000000077810000-0x000000007792F000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-11-13 18:18

Reported

2024-11-13 18:21

Platform

win10v2004-20241007-en

Max time kernel

48s

Max time network

140s

Command Line

"C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\EBRR.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" C:\Windows\system\SVCHOST.EXE N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A

Modifies system executable filetype association

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A

Drops file in System32 directory

Description Indicator Process Target
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\SysWOW64\mmtask.exe C:\Windows\system\SVCHOST.EXE N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe N/A
File created C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File opened for modification C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE N/A
File created C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE N/A
File created C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
File opened for modification C:\Windows\SVCHOST.EXE C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\system\SVCHOST.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\EBRR.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\mmtask.exe N/A

Modifies Internet Explorer settings

adware spyware
Description Indicator Process Target
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\Software\Microsoft\Internet Explorer\Toolbar C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\Locked = "1" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ITBar7Layout = 13000000000000000000000020000000100000000000000001000000010700005e01000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 C:\Windows\explorer.exe N/A

Modifies registry class

Description Indicator Process Target
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 500031000000000047590b4c10004c6f63616c003c0009000400efbe4759ec496d5950922e0000006ce10100000001000000000000000000000000000000609ed5004c006f00630061006c00000014000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (int) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SVCHOST.EXE N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 500031000000000047594652100041646d696e003c0009000400efbe4759ec496d5950922e0000004ee101000000010000000000000000000000000000002b871e01410064006d0069006e00000014000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{4336a54d-038b-4685-ab02-99bb52d3fb8b}\Instance\ C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\system\SVCHOST.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4e003100000000006d595092100054656d7000003a0009000400efbe4759ec496d5950922e0000006de10100000001000000000000000000000000000000ceb5f600540065006d007000000014000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 56003100000000004759ec4912004170704461746100400009000400efbe4759ec496d5950922e00000059e10100000001000000000000000000000000000000f37f90004100700070004400610074006100000016000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = cc003100000000006d59509216003635393133427e310000b40009000400efbe6d5950926d5950922e000000cc3c0200000008000000000000000000000000000000ceb5f60036003500390031003300620030003300370064003200660062003300650038006500650064003700340038003700650038003400300036006500660039003100640039003800390038003300320033003700650064003000390030003500330034006300380031003000360031003900620039003400390032006500630062004e00000018000000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}\Instance\ C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Documents" C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\EBRR.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 78003100000000004759ec491100557365727300640009000400efbe874f77486d5950922e000000c70500000000010000000000000000003a0000000000ed2fa10055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" C:\Windows\SysWOW64\mmtask.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Set value (data) \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff C:\Windows\explorer.exe N/A
Key created \REGISTRY\USER\S-1-5-21-940901362-3608833189-1915618603-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 C:\Windows\explorer.exe N/A

Suspicious behavior: AddClipboardFormatListener

Description Indicator Process Target
N/A N/A C:\Windows\explorer.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\explorer.exe N/A
N/A N/A C:\Windows\explorer.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SysWOW64\mmtask.exe N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\system\SVCHOST.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A
N/A N/A C:\Windows\SysWOW64\EBRR.EXE N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 5032 wrote to memory of 4656 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 5032 wrote to memory of 4656 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 5032 wrote to memory of 4656 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\explorer.exe
PID 5032 wrote to memory of 3668 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 5032 wrote to memory of 3668 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 5032 wrote to memory of 3668 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 2416 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 2416 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 2416 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 3336 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3668 wrote to memory of 3336 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3668 wrote to memory of 3336 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3336 wrote to memory of 516 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 3336 wrote to memory of 516 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 3336 wrote to memory of 516 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\EBRR.EXE
PID 3336 wrote to memory of 4932 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 3336 wrote to memory of 4932 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 3336 wrote to memory of 4932 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SysWOW64\mmtask.exe
PID 3336 wrote to memory of 3620 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 3336 wrote to memory of 3620 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 3336 wrote to memory of 3620 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\SVCHOST.EXE
PID 3620 wrote to memory of 4908 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 4908 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 4908 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 1472 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3620 wrote to memory of 1472 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3620 wrote to memory of 1472 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 3620 wrote to memory of 2832 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 2832 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 2832 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 1468 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 1468 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3620 wrote to memory of 1468 N/A C:\Windows\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 1468 wrote to memory of 4956 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 1468 wrote to memory of 4956 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 1468 wrote to memory of 4956 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 1468 wrote to memory of 5020 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 1468 wrote to memory of 5020 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 1468 wrote to memory of 5020 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\mmtask.exe
PID 1468 wrote to memory of 392 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 1468 wrote to memory of 392 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 1468 wrote to memory of 392 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SVCHOST.EXE
PID 1468 wrote to memory of 1708 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 1468 wrote to memory of 1708 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 1468 wrote to memory of 1708 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\system\SVCHOST.EXE
PID 3336 wrote to memory of 4004 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\System32\mousocoreworker.exe
PID 3336 wrote to memory of 4004 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\System32\mousocoreworker.exe
PID 3336 wrote to memory of 4004 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\System32\mousocoreworker.exe
PID 3668 wrote to memory of 3156 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 3156 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 3156 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3668 wrote to memory of 4044 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE
PID 3668 wrote to memory of 4044 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE
PID 3668 wrote to memory of 4044 N/A C:\Windows\SysWOW64\EBRR.EXE C:\Windows\system\SVCHOST.EXE
PID 3336 wrote to memory of 4092 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\System32\WaaSMedicAgent.exe
PID 3336 wrote to memory of 4092 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\System32\WaaSMedicAgent.exe
PID 3336 wrote to memory of 4092 N/A C:\Windows\SysWOW64\mmtask.exe C:\Windows\System32\WaaSMedicAgent.exe
PID 3620 wrote to memory of 1992 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3620 wrote to memory of 1992 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 3620 wrote to memory of 1992 N/A C:\Windows\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 1468 wrote to memory of 2028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 1468 wrote to memory of 2028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 1468 wrote to memory of 2028 N/A C:\Windows\system\SVCHOST.EXE C:\Windows\SysWOW64\EBRR.EXE
PID 5032 wrote to memory of 3712 N/A C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe C:\Windows\SVCHOST.EXE

Processes

C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe

"C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN.exe"

C:\Windows\SysWOW64\explorer.exe

explorer C:\Users\Admin\AppData\Local\Temp\65913b037d2fb3e8eed7487e8406ef91d98983237ed090534c810619b9492ecbN\

C:\Windows\explorer.exe

C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\System32\rundll32.exe

C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\System32\WaaSMedicAgent.exe

C:\Windows\System32\WaaSMedicAgent.exe 02058c26380987bc88a9578fd896d363 3koMc1jjHUGi/dKsLeMgZw.0.1.0.0.0

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\System32\mousocoreworker.exe

C:\Windows\System32\mousocoreworker.exe -Embedding

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system32\backgroundTaskHost.exe

"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe

C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe -Embedding

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\EBRR.EXE

C:\Windows\system32\EBRR.EXE -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SysWOW64\mmtask.exe

C:\Windows\system32\mmtask.exe -s

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.EXE -s

C:\Windows\system\SVCHOST.EXE

C:\Windows\system\SVCHOST.EXE -s

Network

Country Destination Domain Proto
US 8.8.8.8:53 28.118.140.52.in-addr.arpa udp
US 8.8.8.8:53 83.210.23.2.in-addr.arpa udp
US 8.8.8.8:53 4.159.190.20.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 232.168.11.51.in-addr.arpa udp
US 8.8.8.8:53 212.20.149.52.in-addr.arpa udp
US 8.8.8.8:53 206.23.85.13.in-addr.arpa udp
US 8.8.8.8:53 82.190.18.2.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 48.229.111.52.in-addr.arpa udp

Files

memory/5032-0-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SysWOW64\EBRR.EXE

MD5 c6982e341a369c1617283f71b41366d4
SHA1 0e15a66ab102588fd7a88eed9593a009040d010b
SHA256 43bffcbc2425a9d1637c58e803886b0663c089f31a3a0b45fd2422d573ebe5ff
SHA512 3b24b7941c62d88cd1a1a4957a70128130ed37258a172118acb7d2015c5c77081673bce8b98e48e00608ef2f517651cfc8bddf3e24f4fd2b5b6721764a4ee5e9

memory/3668-11-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SysWOW64\mmtask.exe

MD5 a9b5fafdffda51289abd42df7276927c
SHA1 acd2d11c579be6bd52376f480608564d28962e34
SHA256 d742596cb528f8b102dc50d73e7b1c62cc8ea0375ffad924f618312ce0d3dda6
SHA512 3e3cc54fc9981322d050fec1b631cfb6955a50ddab2c35b8ad7e755e311cf9cf9b6b7879daa8853e0e72319d0d3a3cdf7252d1c73abe1fc42e59c278f69b80a5

memory/2416-25-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3336-24-0x0000000000400000-0x000000000041F000-memory.dmp

memory/516-29-0x0000000000400000-0x000000000041F000-memory.dmp

memory/516-33-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3620-42-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4932-43-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\SVCHOST.EXE

MD5 e2a9fd769ed4ace5dd00e8da9dcf09d9
SHA1 88184a28b73ef692c515c1cacc023c0a1e132657
SHA256 4c1e932e1bcd32f892867f7ecd96fdc59bfe1b80163495554929cdde43bdbb08
SHA512 00538aa62e2a8dbeecd94b9f310e5c89923dc2f1ab839b44704ed16b4ad13f4d4444e63dc2aab5e4e2c35153ee44e256220d7061011806b8163d8c432bade6d6

memory/4908-51-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2832-57-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1472-62-0x0000000000400000-0x000000000041F000-memory.dmp

C:\Windows\system\SVCHOST.EXE

MD5 1d1f7034fdb701a0f8f2e622c7995f1d
SHA1 1b2a5c50923148f0de3e64669cd90b300e609ff7
SHA256 676cb4616f6cdbc6442aaf7654a48ad41331610cd586bc98282d1f1e95d2a9ed
SHA512 5f9a340dd8ded1daf2baa637fd26b7575541d2697ad45f733c6375e6637dd723321b3670d192540e31072a01642775cad1cab4223e926df314373b1b07efa85d

memory/2832-70-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3668-72-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1468-69-0x0000000000400000-0x000000000041F000-memory.dmp

memory/5032-68-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4956-76-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3336-80-0x0000000000400000-0x000000000041F000-memory.dmp

memory/5020-83-0x0000000000400000-0x000000000041F000-memory.dmp

memory/392-86-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1708-85-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1708-93-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3620-95-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4004-92-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4044-103-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3156-104-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1992-119-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3524-116-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1468-111-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4044-112-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4092-124-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2028-131-0x0000000000400000-0x000000000041F000-memory.dmp

memory/940-134-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4960-146-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3524-147-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3712-150-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4868-151-0x0000000000400000-0x000000000041F000-memory.dmp

memory/960-153-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1892-159-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1904-166-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4960-165-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1932-163-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1212-161-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3724-172-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3912-174-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1212-179-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2448-180-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1904-182-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3960-183-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4332-184-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2936-181-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3488-200-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2400-201-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2928-199-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1852-228-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4908-236-0x0000000000400000-0x000000000041F000-memory.dmp

memory/756-230-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4932-241-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4740-225-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3112-223-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4652-222-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2952-221-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4024-244-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2632-249-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3212-253-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4908-246-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3104-260-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1936-261-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4448-262-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3104-263-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1568-264-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3176-277-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1556-283-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3492-285-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1484-287-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2244-290-0x0000000000400000-0x000000000041F000-memory.dmp

memory/464-295-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2924-286-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4032-305-0x0000000000400000-0x000000000041F000-memory.dmp

memory/556-301-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4708-310-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1052-311-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3092-315-0x0000000000400000-0x000000000041F000-memory.dmp

memory/944-316-0x0000000000400000-0x000000000041F000-memory.dmp

memory/960-320-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1640-326-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3616-325-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3404-322-0x0000000000400000-0x000000000041F000-memory.dmp

memory/1340-321-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3732-327-0x0000000000400000-0x000000000041F000-memory.dmp

memory/776-334-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4640-335-0x0000000000400000-0x000000000041F000-memory.dmp

memory/5096-351-0x0000000000400000-0x000000000041F000-memory.dmp

memory/2392-355-0x0000000000400000-0x000000000041F000-memory.dmp

memory/3736-350-0x0000000000400000-0x000000000041F000-memory.dmp

memory/64-354-0x0000000000400000-0x000000000041F000-memory.dmp

memory/4116-346-0x0000000000400000-0x000000000041F000-memory.dmp