Analysis
-
max time kernel
65s -
max time network
123s -
platform
windows7_x64 -
resource
win7-20240903-en -
resource tags
arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system -
submitted
21-11-2024 10:43
Static task
static1
Behavioral task
behavioral1
Sample
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe
Resource
win7-20240903-en
Behavioral task
behavioral2
Sample
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe
Resource
win10v2004-20241007-en
General
-
Target
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe
-
Size
92KB
-
MD5
141de0ea954db4c4eb310acf6810c9a2
-
SHA1
e203d4738ca3703218dcab0c7090739de994d325
-
SHA256
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b
-
SHA512
5d3d71aa416fd3ee5a4c468c98318fb78adca40d3de961d5f642046d002fa3f57a65ecb9c704c5f14a57b45153c74bc715bb6f56d947e7a6a2cf44f1e1f82f7a
-
SSDEEP
768:4zW4wnebSdDlmkok6lRGXu+jKZAOWjpiRHVAGr4PzpyRAJ7IwnDoSdt:41bC4Bk6lMTOWw4PkRAPow
Malware Config
Signatures
-
Modifies WinLogon for persistence 2 TTPs 10 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" mmtask.exe Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" EBRR.EXE Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" EBRR.EXE -
Executes dropped EXE 64 IoCs
pid Process 2664 EBRR.EXE 2668 EBRR.EXE 2800 mmtask.exe 2724 EBRR.EXE 2580 mmtask.exe 2604 SVCHOST.EXE 1792 EBRR.EXE 2956 mmtask.exe 2656 SVCHOST.EXE 1392 SVCHOST.EXE 1244 EBRR.EXE 1952 mmtask.exe 2860 SVCHOST.EXE 1440 SVCHOST.EXE 1600 SVCHOST.EXE 532 EBRR.EXE 808 EBRR.EXE 2924 SVCHOST.EXE 2540 EBRR.EXE 1636 SVCHOST.EXE 2204 mmtask.exe 1508 mmtask.exe 540 mmtask.exe 1572 mmtask.exe 1072 SVCHOST.EXE 948 SVCHOST.EXE 2232 SVCHOST.EXE 1284 SVCHOST.EXE 1292 SVCHOST.EXE 1708 SVCHOST.EXE 1300 SVCHOST.EXE 1880 SVCHOST.EXE 688 EBRR.EXE 1540 EBRR.EXE 2892 EBRR.EXE 2404 EBRR.EXE 2072 mmtask.exe 2808 mmtask.exe 1968 EBRR.EXE 2052 mmtask.exe 1516 SVCHOST.EXE 2308 mmtask.exe 2940 SVCHOST.EXE 1020 SVCHOST.EXE 2280 SVCHOST.EXE 2764 SVCHOST.EXE 2712 mmtask.exe 2716 SVCHOST.EXE 2812 SVCHOST.EXE 2668 SVCHOST.EXE 952 SVCHOST.EXE 2752 SVCHOST.EXE 2572 EBRR.EXE 2564 EBRR.EXE 2732 EBRR.EXE 2612 mmtask.exe 2636 EBRR.EXE 2624 mmtask.exe 3020 mmtask.exe 2632 EBRR.EXE 3012 mmtask.exe 1832 SVCHOST.EXE 2192 SVCHOST.EXE 2956 SVCHOST.EXE -
Loads dropped DLL 64 IoCs
pid Process 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 2800 mmtask.exe 1392 SVCHOST.EXE 1392 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2800 mmtask.exe 2800 mmtask.exe 1392 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 1392 SVCHOST.EXE 2664 EBRR.EXE 2800 mmtask.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2800 mmtask.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2800 mmtask.exe 2800 mmtask.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2664 EBRR.EXE 2664 EBRR.EXE 2800 mmtask.exe 2604 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2664 EBRR.EXE 2664 EBRR.EXE 2800 mmtask.exe 2800 mmtask.exe 2604 SVCHOST.EXE 2604 SVCHOST.EXE 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 1392 SVCHOST.EXE 1392 SVCHOST.EXE 2800 mmtask.exe 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2664 EBRR.EXE 2604 SVCHOST.EXE 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2604 SVCHOST.EXE -
Modifies system executable filetype association 2 TTPs 5 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" EBRR.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE -
Drops file in System32 directory 20 IoCs
description ioc Process File opened for modification C:\Windows\SysWOW64\EBRR.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File created C:\Windows\SysWOW64\EBRR.EXE mmtask.exe File created C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File created C:\Windows\SysWOW64\mmtask.exe e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File created C:\Windows\SysWOW64\EBRR.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SysWOW64\EBRR.EXE EBRR.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE mmtask.exe File created C:\Windows\SysWOW64\mmtask.exe mmtask.exe File created C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe mmtask.exe File created C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File created C:\Windows\SysWOW64\EBRR.EXE EBRR.EXE File created C:\Windows\SysWOW64\mmtask.exe EBRR.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe EBRR.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File created C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE -
Drops file in Windows directory 20 IoCs
description ioc Process File opened for modification C:\Windows\SVCHOST.EXE mmtask.exe File created C:\Windows\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\system\SVCHOST.EXE mmtask.exe File created C:\Windows\SVCHOST.EXE mmtask.exe File opened for modification C:\Windows\system\SVCHOST.EXE mmtask.exe File created C:\Windows\SVCHOST.EXE EBRR.EXE File created C:\Windows\system\SVCHOST.EXE EBRR.EXE File created C:\Windows\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\SVCHOST.EXE EBRR.EXE File opened for modification C:\Windows\system\SVCHOST.EXE EBRR.EXE File created C:\Windows\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File created C:\Windows\system\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe -
System Location Discovery: System Language Discovery 1 TTPs 64 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language Process not Found Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE -
description ioc Process Set value (int) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Internet Explorer\Toolbar\Locked = "1" explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Internet Explorer\Toolbar explorer.exe -
Modifies registry class 43 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" EBRR.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 74003100000000002359ac291100557365727300600008000400efbeee3a851a2359ac292a000000e601000000000100000000000000000036000000000055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 52003100000000002359ac29122041707044617461003c0008000400efbe2359ac292359ac292a000000ed0100000000020000000000000000000000000000004100700070004400610074006100000016000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Documents" explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_Classes\Local Settings explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 4c003100000000002359e72a10204c6f63616c00380008000400efbe2359ac292359e72a2a000000000200000000020000000000000000000000000000004c006f00630061006c00000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\KnownFolderDerivedFolderType = "{57807898-8C4F-4462-BB63-71042380B109}" explorer.exe Set value (int) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4a0031000000000075597855102054656d700000360008000400efbe2359ac29755978552a00000001020000000002000000000000000000000000000000540065006d007000000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = c6003100000000007559785516004538313930327e310000ae0008000400efbe75597855755978552a000000865601000000080000000000000000000000000000006500380031003900300032003900320064006600650039006400610031003300350036003600360066003400390035006300300036006600380064003500630032003600320037006400640038003600650039003700300032006500650066006100620030006200660038006600320030003700360066003100360037006200000018000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 4c0031000000000023599a2d100041646d696e00380008000400efbe2359ac2923599a2d2a00000030000000000004000000000000000000000000000000410064006d0069006e00000014000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 explorer.exe -
Suspicious behavior: EnumeratesProcesses 64 IoCs
pid Process 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2664 EBRR.EXE 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2800 mmtask.exe 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 1392 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE 2604 SVCHOST.EXE -
Suspicious use of SetWindowsHookEx 64 IoCs
pid Process 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2664 EBRR.EXE 2668 EBRR.EXE 2800 mmtask.exe 2724 EBRR.EXE 2580 mmtask.exe 2604 SVCHOST.EXE 1792 EBRR.EXE 2956 mmtask.exe 2656 SVCHOST.EXE 1392 SVCHOST.EXE 1244 EBRR.EXE 1952 mmtask.exe 2860 SVCHOST.EXE 1440 SVCHOST.EXE 1600 SVCHOST.EXE 532 EBRR.EXE 808 EBRR.EXE 2924 SVCHOST.EXE 2540 EBRR.EXE 1636 SVCHOST.EXE 2204 mmtask.exe 540 mmtask.exe 1572 mmtask.exe 1072 SVCHOST.EXE 948 SVCHOST.EXE 1284 SVCHOST.EXE 2232 SVCHOST.EXE 1508 mmtask.exe 1292 SVCHOST.EXE 1300 SVCHOST.EXE 1708 SVCHOST.EXE 1880 SVCHOST.EXE 688 EBRR.EXE 1540 EBRR.EXE 2404 EBRR.EXE 2892 EBRR.EXE 2808 mmtask.exe 2072 mmtask.exe 1968 EBRR.EXE 1516 SVCHOST.EXE 2052 mmtask.exe 2308 mmtask.exe 2940 SVCHOST.EXE 1020 SVCHOST.EXE 2280 SVCHOST.EXE 2764 SVCHOST.EXE 2712 mmtask.exe 2812 SVCHOST.EXE 2668 SVCHOST.EXE 2716 SVCHOST.EXE 952 SVCHOST.EXE 2752 SVCHOST.EXE 2572 EBRR.EXE 2564 EBRR.EXE 2732 EBRR.EXE 2612 mmtask.exe 2636 EBRR.EXE 2624 mmtask.exe 3020 mmtask.exe 1832 SVCHOST.EXE 2192 SVCHOST.EXE 3012 mmtask.exe 2956 SVCHOST.EXE -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 3016 wrote to memory of 3032 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 30 PID 3016 wrote to memory of 3032 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 30 PID 3016 wrote to memory of 3032 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 30 PID 3016 wrote to memory of 3032 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 30 PID 3016 wrote to memory of 2664 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 32 PID 3016 wrote to memory of 2664 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 32 PID 3016 wrote to memory of 2664 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 32 PID 3016 wrote to memory of 2664 3016 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 32 PID 2664 wrote to memory of 2668 2664 EBRR.EXE 81 PID 2664 wrote to memory of 2668 2664 EBRR.EXE 81 PID 2664 wrote to memory of 2668 2664 EBRR.EXE 81 PID 2664 wrote to memory of 2668 2664 EBRR.EXE 81 PID 2664 wrote to memory of 2800 2664 EBRR.EXE 34 PID 2664 wrote to memory of 2800 2664 EBRR.EXE 34 PID 2664 wrote to memory of 2800 2664 EBRR.EXE 34 PID 2664 wrote to memory of 2800 2664 EBRR.EXE 34 PID 2800 wrote to memory of 2724 2800 mmtask.exe 35 PID 2800 wrote to memory of 2724 2800 mmtask.exe 35 PID 2800 wrote to memory of 2724 2800 mmtask.exe 35 PID 2800 wrote to memory of 2724 2800 mmtask.exe 35 PID 2800 wrote to memory of 2580 2800 mmtask.exe 36 PID 2800 wrote to memory of 2580 2800 mmtask.exe 36 PID 2800 wrote to memory of 2580 2800 mmtask.exe 36 PID 2800 wrote to memory of 2580 2800 mmtask.exe 36 PID 2800 wrote to memory of 2604 2800 mmtask.exe 37 PID 2800 wrote to memory of 2604 2800 mmtask.exe 37 PID 2800 wrote to memory of 2604 2800 mmtask.exe 37 PID 2800 wrote to memory of 2604 2800 mmtask.exe 37 PID 2604 wrote to memory of 1792 2604 SVCHOST.EXE 38 PID 2604 wrote to memory of 1792 2604 SVCHOST.EXE 38 PID 2604 wrote to memory of 1792 2604 SVCHOST.EXE 38 PID 2604 wrote to memory of 1792 2604 SVCHOST.EXE 38 PID 2604 wrote to memory of 2956 2604 SVCHOST.EXE 94 PID 2604 wrote to memory of 2956 2604 SVCHOST.EXE 94 PID 2604 wrote to memory of 2956 2604 SVCHOST.EXE 94 PID 2604 wrote to memory of 2956 2604 SVCHOST.EXE 94 PID 2604 wrote to memory of 2656 2604 SVCHOST.EXE 40 PID 2604 wrote to memory of 2656 2604 SVCHOST.EXE 40 PID 2604 wrote to memory of 2656 2604 SVCHOST.EXE 40 PID 2604 wrote to memory of 2656 2604 SVCHOST.EXE 40 PID 2604 wrote to memory of 1392 2604 SVCHOST.EXE 41 PID 2604 wrote to memory of 1392 2604 SVCHOST.EXE 41 PID 2604 wrote to memory of 1392 2604 SVCHOST.EXE 41 PID 2604 wrote to memory of 1392 2604 SVCHOST.EXE 41 PID 1392 wrote to memory of 1244 1392 SVCHOST.EXE 161 PID 1392 wrote to memory of 1244 1392 SVCHOST.EXE 161 PID 1392 wrote to memory of 1244 1392 SVCHOST.EXE 161 PID 1392 wrote to memory of 1244 1392 SVCHOST.EXE 161 PID 1392 wrote to memory of 1952 1392 SVCHOST.EXE 100 PID 1392 wrote to memory of 1952 1392 SVCHOST.EXE 100 PID 1392 wrote to memory of 1952 1392 SVCHOST.EXE 100 PID 1392 wrote to memory of 1952 1392 SVCHOST.EXE 100 PID 1392 wrote to memory of 2860 1392 SVCHOST.EXE 232 PID 1392 wrote to memory of 2860 1392 SVCHOST.EXE 232 PID 1392 wrote to memory of 2860 1392 SVCHOST.EXE 232 PID 1392 wrote to memory of 2860 1392 SVCHOST.EXE 232 PID 1392 wrote to memory of 1440 1392 SVCHOST.EXE 102 PID 1392 wrote to memory of 1440 1392 SVCHOST.EXE 102 PID 1392 wrote to memory of 1440 1392 SVCHOST.EXE 102 PID 1392 wrote to memory of 1440 1392 SVCHOST.EXE 102 PID 2800 wrote to memory of 1600 2800 mmtask.exe 328 PID 2800 wrote to memory of 1600 2800 mmtask.exe 328 PID 2800 wrote to memory of 1600 2800 mmtask.exe 328 PID 2800 wrote to memory of 1600 2800 mmtask.exe 328
Processes
-
C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe"C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe"1⤵
- Modifies WinLogon for persistence
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3016 -
C:\Windows\SysWOW64\explorer.exeexplorer C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b\2⤵PID:3032
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2664 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2668
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2800 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:2724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:2580
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2604 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1792
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2956
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2656
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1392 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1244
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1952
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2860
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1440
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:532
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2204
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1072
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2232
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2404
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:2308
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2280
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2716
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
PID:2632
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1336
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:264
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:572
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1628
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2528
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1356
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2484
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1036
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1608
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2256
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3036
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2564
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2188
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2312
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2056
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1276
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1152
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1500
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2324
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2100
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2280
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2308
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2980
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1668
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2784
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2000
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1072
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1532
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1736
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1444
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:656
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2796
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2944
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2612
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2172
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1772
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2632
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1120
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2260
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2428
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1956
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:928
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2876
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3056
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2752
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2668
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:1868
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1188
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1096
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:2156
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:404
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:264
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2500
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2528
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1720
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1512
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2476
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2596
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2672
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3004
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:1808
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1820
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1492
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2424
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1440
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1300
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2880
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2484
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1988
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1964
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1488
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1864
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2592
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2940
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:952
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:480
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1668
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:768
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:664
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:1288
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1072
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1784
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1548
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2428
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1976
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1536
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2432
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2724
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3068
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2420
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:680
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1504
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2540
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2208
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:1324
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:1300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1352
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1148
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1512
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:984
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2704
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3032
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2716
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2984
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2944
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:688
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1188
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2056
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2656
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2540
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:376
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1812
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1688
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1352
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2688
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1560
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2932
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:2676
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:308
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1800
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1232
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2328
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2464
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1768
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1044
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1292
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1724
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2880
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2600
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- System Location Discovery: System Language Discovery
PID:2352
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3004
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2556
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2852
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1816
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2692
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:848
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2528
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2180
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1276
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2280
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:776
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1540
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2568
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:984
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1728
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1792
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2632
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2396
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2624
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1772
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1628
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:640
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1740
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2700
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2688
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2608
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1732
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2080
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2668
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1136
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2056
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:944
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2884
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2208
-
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:808
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1708
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1968
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2712
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2668
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2564
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2624
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2192
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2056
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:480
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1288
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2180
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2264
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1976
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2360
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2944
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3032
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:952
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2008
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1668
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2992
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1680
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:328
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1716
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2408
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1636
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1348
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1708
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2360
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2652
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2792
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2608
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3008
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2732
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1268
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2192
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2656
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2440
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:328
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:948
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1508
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1512
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2476
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2984
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2588
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2228
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2092
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2660
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1492
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1108
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1480
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2232
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1688
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:1708
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1356
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2052
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1608
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2652
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2680
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1764
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:372
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1484
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1772
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1316
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2784
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1816
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1396
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1072
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1736
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1992
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2708
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1616
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1536
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2716
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2556
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2068
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1668
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2220
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2844
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:376
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:264
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1520
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1152
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2324
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:884
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2916
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2716
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1164
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:392
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2068
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2992
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2420
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2320
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:808
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1704
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1324
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2360
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1540
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2512
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1620
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:884
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2676
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:580
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1768
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2820
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:980
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2312
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1804
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1096
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1772
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2320
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1044
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2180
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2304
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1600
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2700
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1964
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2752
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:624
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1500
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2712
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1792
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2624
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2868
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1808
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2972
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2464
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:532
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2744
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2528
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:700
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2428
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2448
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2484
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:644
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2760
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2284
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2888
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2148
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2136
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3024
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1108
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1772
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1288
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:1520
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1712
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1172
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2028
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2160
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2336
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2772
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1356
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2932
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2628
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1756
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2192
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2848
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2208
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:640
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1292
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2428
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2484
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1508
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2832
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2944
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2732
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2420
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2212
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1504
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2656
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1480
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1976
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2640
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:1956
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1560
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2684
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2568
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2372
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2820
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2696
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1232
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2996
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2224
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2440
-
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1600
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2540
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:540
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:948
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1540
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2808
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2940
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3012
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2288
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1812
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1736
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1664
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1620
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2692
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2716
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2080
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2396
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2996
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2464
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1244
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1144
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1336
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:264
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2452
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2548
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1292
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1488
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:860
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:1608
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2588
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1020
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:392
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1748
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2860
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1820
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1672
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2500
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1552
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1352
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1784
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1988
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2760
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1488
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:664
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2152
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1704
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2456
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1300
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:776
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:656
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2720
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1516
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1488
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2756
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:944
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2044
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2092
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1768
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2848
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2852
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2464
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1740
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:376
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1440
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2428
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2684
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2760
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2052
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:944
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2460
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1748
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2420
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1484
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2924
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1740
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1816
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1876
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2500
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1736
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2104
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1568
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2720
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2804
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2780
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2096
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2556
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1924
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2848
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1316
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1752
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2444
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:900
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:324
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2324
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2336
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2932
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2780
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1732
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2188
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:944
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1428
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2924
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2636
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1532
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1152
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1780
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2360
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2336
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2372
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2708
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1588
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2096
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2992
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2884
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:540
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1484
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:3012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1384
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:288
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:948
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2160
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1956
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2832
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2768
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1164
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2732
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2312
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:952
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1804
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2224
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:532
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2636
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2544
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2204
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1828
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2832
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1588
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2876
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1764
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2212
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:680
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2584
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1384
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1520
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2140
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1172
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2028
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2160
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1736
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2764
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1864
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3004
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:1800
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:944
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2068
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2884
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2060
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2544
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:664
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2468
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1600
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2476
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2792
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:644
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2876
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2976
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2196
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2396
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2624
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:2852
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2060
-
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2924
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1636
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:688
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2072
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2812
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2172
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:768
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2444
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1964
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2688
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2308
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2560
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2580
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2416
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2852
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2972
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2500
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1600
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1736
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1444
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2352
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:944
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2756
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2044
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:688
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2328
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2452
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1976
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2104
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:1968
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:944
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2256
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2976
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:3068
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2060
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1744
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1804
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2784
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:376
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1816
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2444
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1600
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2708
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1732
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3032
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1792
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2096
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1336
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2060
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1752
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1480
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2908
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1292
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1564
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2352
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2372
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2828
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1516
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1792
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2524
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:288
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1284
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2224
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1828
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1880
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2908
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2808
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2768
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2812
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2532
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2856
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2460
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1804
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2156
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:640
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2424
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2480
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1572
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1148
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1720
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2720
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2832
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2984
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2980
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2196
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2440
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2260
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1704
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2548
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2480
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2428
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2768
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3036
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2916
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1864
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1136
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2848
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1476
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2852
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1520
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:832
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2480
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1736
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1348
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2720
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1488
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2892
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2792
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1732
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1868
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2192
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:680
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1832
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2472
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1672
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:900
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2304
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2912
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1992
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1616
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1540
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2372
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1728
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2760
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2752
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:3020
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:392
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1924
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2648
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:992
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2232
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2544
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2360
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3056
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1992
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2072
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2704
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3068
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2432
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2940
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1744
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:480
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2648
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2524
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1752
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2636
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1768
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2424
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2444
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1148
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1336
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2600
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2336
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1968
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2724
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1500
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2956
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- System Location Discovery: System Language Discovery
PID:1744
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:744
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2524
-
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1292
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1300
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2892
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2052
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2764
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2752
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2732
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2956
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1188
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2456
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1396
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:700
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1520
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:744
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3008
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:480
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2304
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1324
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1876
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2336
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2096
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2068
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:308
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2220
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1832
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1316
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2544
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:848
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1276
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1600
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1560
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2372
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:860
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2888
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2712
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2572
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2068
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2144
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2212
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2192
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1288
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2304
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2916
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1148
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1964
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2688
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:952
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2956
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2972
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2844
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2268
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2920
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1276
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2548
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2452
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1352
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1568
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- System Location Discovery: System Language Discovery
PID:1780
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1540
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2512
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1356
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2532
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1732
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:644
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1756
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1596
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:744
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1336
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:768
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2464
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2660
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1552
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1628
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1956
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1512
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2404
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2708
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2724
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2792
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2976
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2044
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1756
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3008
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:1484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1108
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- System Location Discovery: System Language Discovery
PID:1396
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2296
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1812
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2500
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2316
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2804
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2760
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2080
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2228
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2712
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1052
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3024
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1188
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3012
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:768
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2408
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2744
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1828
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1736
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2500
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1540
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2088
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1608
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2756
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1764
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:980
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1436
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2260
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2296
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2424
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1828
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1036
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2264
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1620
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1728
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2080
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2976
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:944
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2648
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1188
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2660
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2156
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2784
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:768
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1552
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:324
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2476
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2072
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2404
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2088
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2036
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:580
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:744
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2396
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:944
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2320
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3008
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:664
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1628
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1044
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2316
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2104
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2880
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2052
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2284
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2080
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:744
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1108
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2852
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1876
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:656
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1584
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2540
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2500
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2532
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1144
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2764
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2188
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1728
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2460
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1924
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:392
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1316
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2068
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2656
-
-
C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding1⤵
- Modifies Internet Explorer settings
- Modifies registry class
PID:2436
-
C:\Windows\system32\wbem\WMIADAP.EXEwmiadap.exe /F /T /R1⤵PID:1820
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
1Winlogon Helper DLL
1Event Triggered Execution
1Change Default File Association
1Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b\Naskah.rtf
Filesize188B
MD5853035ec9d6fbf7cf9243c5cd2ed52c9
SHA165db1419ad274aface533f87b958b7b21e5f32b7
SHA256f6e97c8120a4039043a8b132da995cccab7ed38a842251927577bd2f3cb5c1bb
SHA512f53d97de0a1462ad580e98de40f8629dd282dcd7cf1bdad060064cba4718cdbbfb86e151de1c8e9352083ae61d11bc392dd11cf538513d8fb99f1f469e2c6b79
-
Filesize
92KB
MD53b69fcb4bee5defcb2a7c41e4ee989c0
SHA13079cd139eb46fcc42ccff19325a35f8b0fd1ed8
SHA25697c3859a9d52e73234e8b3a823f15ce9c2f5146afeed4f446783aba197e63d72
SHA512272809be86b4f3e3371cdc7f2301a58a9fb97732d9039311d5f42789d7697e95424d53d8f7da7725116b8bab029501b9ec2a80490f85380c5a3c5f66f0b8b6a9
-
Filesize
92KB
MD55e5044ca375dc750ad05d6ef189edd33
SHA1072db49838ce9a6f9ab6ca889c702bf11d90d4e0
SHA256ead765e49647366c781f9b3c562ddd30eac02c7a6864479500bb2c9b5266d7d2
SHA5128667470b07d635acfe95357a2dc0823b630c5d184a362eb128931041bd27a56093ec8d8011ea629255671019f07c0c5080f869b8cba353758e717ba87120600f
-
Filesize
92KB
MD58f2dbce452b8a21fa2cf02f6f2c164a2
SHA1b90465157833f44e8be4ff6c69c8320851360df8
SHA25623eab4eac42e4b9ca2a65e98e4c25575f64a32ebea5c4bc6d2584f5e91cd518c
SHA5125595c4d322fc0084d652eda4ddd9d71aa4fbf86c8b589700fa905f9f04001a28faa76966fd03b4a3ac43ba1999503c3cd75e9d5ec6082d80b19035675b9cf1bd
-
Filesize
92KB
MD54c3473dc888e63b0b5d32e6368fcc102
SHA106764c97e24b7ccfb89c9ec775873ddcf027751b
SHA25686515ee809132c5e1e7ea579d6237a6ce344f1c3cfeefc06feeee4051cfd0674
SHA512ec3b9c7af1c80e594708185b4a0185b7491662163f76919ad1638e7fe21225474b8bd77e3275e19abff2de2abddaf0accb10a9004e6b2d4d467f4756d62816f1