Analysis
-
max time kernel
43s -
max time network
150s -
platform
windows10-2004_x64 -
resource
win10v2004-20241007-en -
resource tags
arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system -
submitted
21-11-2024 10:43
Static task
static1
Behavioral task
behavioral1
Sample
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe
Resource
win7-20240903-en
Behavioral task
behavioral2
Sample
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe
Resource
win10v2004-20241007-en
General
-
Target
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe
-
Size
92KB
-
MD5
141de0ea954db4c4eb310acf6810c9a2
-
SHA1
e203d4738ca3703218dcab0c7090739de994d325
-
SHA256
e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b
-
SHA512
5d3d71aa416fd3ee5a4c468c98318fb78adca40d3de961d5f642046d002fa3f57a65ecb9c704c5f14a57b45153c74bc715bb6f56d947e7a6a2cf44f1e1f82f7a
-
SSDEEP
768:4zW4wnebSdDlmkok6lRGXu+jKZAOWjpiRHVAGr4PzpyRAJ7IwnDoSdt:41bC4Bk6lMTOWw4PkRAPow
Malware Config
Signatures
-
Modifies WinLogon for persistence 2 TTPs 10 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" EBRR.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" SVCHOST.EXE Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" EBRR.EXE Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\system\\SVCHOST.EXE\"" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe \"C:\\Windows\\SVCHOST.EXE\"" SVCHOST.EXE -
Executes dropped EXE 64 IoCs
pid Process 2212 EBRR.EXE 4448 EBRR.EXE 1940 mmtask.exe 32 EBRR.EXE 2384 mmtask.exe 3148 SVCHOST.EXE 5112 EBRR.EXE 4596 mmtask.exe 2440 SVCHOST.EXE 2936 SVCHOST.EXE 5088 EBRR.EXE 2332 mmtask.exe 3576 SVCHOST.EXE 4220 SVCHOST.EXE 436 EBRR.EXE 2684 SVCHOST.EXE 3472 EBRR.EXE 2032 SVCHOST.EXE 1352 mmtask.exe 3728 mmtask.exe 3144 SVCHOST.EXE 4580 SVCHOST.EXE 3940 SVCHOST.EXE 4940 mmtask.exe 2944 SVCHOST.EXE 1236 SVCHOST.EXE 1716 SVCHOST.EXE 4956 SVCHOST.EXE 3980 EBRR.EXE 4412 EBRR.EXE 2368 EBRR.EXE 1756 EBRR.EXE 3988 mmtask.exe 3132 mmtask.exe 4896 mmtask.exe 3936 mmtask.exe 3468 EBRR.EXE 1584 mmtask.exe 1396 SVCHOST.EXE 4460 SVCHOST.EXE 2300 SVCHOST.EXE 4296 SVCHOST.EXE 3228 SVCHOST.EXE 4400 SVCHOST.EXE 3332 SVCHOST.EXE 3948 SVCHOST.EXE 3952 SVCHOST.EXE 3024 SVCHOST.EXE 32 EBRR.EXE 3608 EBRR.EXE 4928 EBRR.EXE 440 EBRR.EXE 2384 EBRR.EXE 1660 mmtask.exe 2940 mmtask.exe 2964 mmtask.exe 1868 mmtask.exe 5024 mmtask.exe 1984 SVCHOST.EXE 3660 SVCHOST.EXE 2080 SVCHOST.EXE 3448 SVCHOST.EXE 4776 SVCHOST.EXE 4580 SVCHOST.EXE -
Modifies system executable filetype association 2 TTPs 5 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" mmtask.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" EBRR.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE -
Drops file in System32 directory 20 IoCs
description ioc Process File created C:\Windows\SysWOW64\EBRR.EXE EBRR.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE EBRR.EXE File created C:\Windows\SysWOW64\mmtask.exe mmtask.exe File created C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SysWOW64\EBRR.EXE mmtask.exe File created C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File created C:\Windows\SysWOW64\mmtask.exe e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File created C:\Windows\SysWOW64\EBRR.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe EBRR.EXE File created C:\Windows\SysWOW64\EBRR.EXE mmtask.exe File opened for modification C:\Windows\SysWOW64\mmtask.exe mmtask.exe File created C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\mmtask.exe SVCHOST.EXE File created C:\Windows\SysWOW64\mmtask.exe EBRR.EXE File created C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE File opened for modification C:\Windows\SysWOW64\EBRR.EXE SVCHOST.EXE -
Drops file in Windows directory 20 IoCs
description ioc Process File created C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE mmtask.exe File created C:\Windows\system\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File created C:\Windows\SVCHOST.EXE mmtask.exe File opened for modification C:\Windows\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\SVCHOST.EXE EBRR.EXE File created C:\Windows\system\SVCHOST.EXE mmtask.exe File opened for modification C:\Windows\SVCHOST.EXE EBRR.EXE File created C:\Windows\system\SVCHOST.EXE EBRR.EXE File opened for modification C:\Windows\SVCHOST.EXE mmtask.exe File created C:\Windows\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File created C:\Windows\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE SVCHOST.EXE File opened for modification C:\Windows\system\SVCHOST.EXE EBRR.EXE File created C:\Windows\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe File opened for modification C:\Windows\SVCHOST.EXE e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe -
System Location Discovery: System Language Discovery 1 TTPs 64 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language mmtask.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language EBRR.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language SVCHOST.EXE -
description ioc Process Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ITBar7Layout = 13000000000000000000000020000000100000000000000001000000010700005e01000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\Software\Microsoft\Internet Explorer\Toolbar explorer.exe Set value (int) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar\Locked = "1" explorer.exe -
Modifies registry class 44 IoCs
description ioc Process Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = 00000000ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 = 14001f50e04fd020ea3a6910a2d808002b30309d0000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 = 7800310000000000475988481100557365727300640009000400efbe874f7748755978552e000000c70500000000010000000000000000003a0000000000c85ad50055007300650072007300000040007300680065006c006c00330032002e0064006c006c002c002d0032003100380031003300000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots = 02 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\MRUListEx = ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 = 50003100000000004759a64a10004c6f63616c003c0009000400efbe47598848755978552e0000007ee101000000010000000000000000000000000000009f30f1004c006f00630061006c00000014000000 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (int) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0\NodeSlot = "1" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" mmtask.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 = 4e0031000000000075597855100054656d7000003a0009000400efbe47598848755978552e0000007fe10100000001000000000000000000000000000000e3e7e000540065006d007000000014000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 = ca003100000000007559785516004538313930327e310000b20009000400efbe75597855755978552e000000cf3b0200000009000000000000000000000000000000e3e7e0006500380031003900300032003900320064006600650039006400610031003300350036003600360066003400390035006300300036006600380064003500630032003600320037006400640038003600650039003700300032006500650066006100620030006200660038006600320030003700360066003100360037006200000018000000 explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Generic" explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" EBRR.EXE Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0 = 50003100000000004759394d100041646d696e003c0009000400efbe47598848755978552e00000060e10100000001000000000000000000000000000000db943900410064006d0069006e00000014000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\0\0 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}\Instance\ explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx = ffffffff explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0 = 56003100000000004759884812004170704461746100400009000400efbe47598848755978552e0000006be10100000001000000000000000000000000000000d60cc7004100700070004400610074006100000016000000 explorer.exe Set value (str) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\1\Shell\SniffedFolderType = "Pictures" explorer.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{4336a54d-038b-4685-ab02-99bb52d3fb8b}\Instance\ explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0 = 19002f433a5c000000000000000000000000000000000000000000 explorer.exe Key created \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0 explorer.exe Set value (data) \REGISTRY\USER\S-1-5-21-2437139445-1151884604-3026847218-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\0\0\0\0\MRUListEx = 00000000ffffffff explorer.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\ = "File Folder" SVCHOST.EXE -
Suspicious behavior: AddClipboardFormatListener 1 IoCs
pid Process 1200 explorer.exe -
Suspicious behavior: EnumeratesProcesses 64 IoCs
pid Process 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 2212 EBRR.EXE 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 1940 mmtask.exe 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 3148 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE 2936 SVCHOST.EXE -
Suspicious use of SetWindowsHookEx 64 IoCs
pid Process 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 2212 EBRR.EXE 4448 EBRR.EXE 1940 mmtask.exe 32 EBRR.EXE 2384 mmtask.exe 1200 explorer.exe 1200 explorer.exe 3148 SVCHOST.EXE 5112 EBRR.EXE 4596 mmtask.exe 2440 SVCHOST.EXE 2936 SVCHOST.EXE 5088 EBRR.EXE 2332 mmtask.exe 3576 SVCHOST.EXE 4220 SVCHOST.EXE 2684 SVCHOST.EXE 436 EBRR.EXE 3472 EBRR.EXE 2032 SVCHOST.EXE 3728 mmtask.exe 1352 mmtask.exe 3144 SVCHOST.EXE 4580 SVCHOST.EXE 3940 SVCHOST.EXE 2944 SVCHOST.EXE 4940 mmtask.exe 1236 SVCHOST.EXE 1716 SVCHOST.EXE 4956 SVCHOST.EXE 4412 EBRR.EXE 2368 EBRR.EXE 3980 EBRR.EXE 1756 EBRR.EXE 3468 EBRR.EXE 3988 mmtask.exe 3132 mmtask.exe 4896 mmtask.exe 3936 mmtask.exe 1584 mmtask.exe 1396 SVCHOST.EXE 4460 SVCHOST.EXE 2300 SVCHOST.EXE 4296 SVCHOST.EXE 3228 SVCHOST.EXE 4400 SVCHOST.EXE 3332 SVCHOST.EXE 3948 SVCHOST.EXE 3952 SVCHOST.EXE 3024 SVCHOST.EXE 3608 EBRR.EXE 32 EBRR.EXE 440 EBRR.EXE 4928 EBRR.EXE 2384 EBRR.EXE 1660 mmtask.exe 2964 mmtask.exe 2940 mmtask.exe 1868 mmtask.exe 5024 mmtask.exe 1984 SVCHOST.EXE 3660 SVCHOST.EXE 2080 SVCHOST.EXE -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 224 wrote to memory of 4968 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 83 PID 224 wrote to memory of 4968 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 83 PID 224 wrote to memory of 4968 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 83 PID 224 wrote to memory of 2212 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 85 PID 224 wrote to memory of 2212 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 85 PID 224 wrote to memory of 2212 224 e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe 85 PID 2212 wrote to memory of 4448 2212 EBRR.EXE 86 PID 2212 wrote to memory of 4448 2212 EBRR.EXE 86 PID 2212 wrote to memory of 4448 2212 EBRR.EXE 86 PID 2212 wrote to memory of 1940 2212 EBRR.EXE 87 PID 2212 wrote to memory of 1940 2212 EBRR.EXE 87 PID 2212 wrote to memory of 1940 2212 EBRR.EXE 87 PID 1940 wrote to memory of 32 1940 mmtask.exe 88 PID 1940 wrote to memory of 32 1940 mmtask.exe 88 PID 1940 wrote to memory of 32 1940 mmtask.exe 88 PID 1940 wrote to memory of 2384 1940 mmtask.exe 89 PID 1940 wrote to memory of 2384 1940 mmtask.exe 89 PID 1940 wrote to memory of 2384 1940 mmtask.exe 89 PID 1940 wrote to memory of 3148 1940 mmtask.exe 90 PID 1940 wrote to memory of 3148 1940 mmtask.exe 90 PID 1940 wrote to memory of 3148 1940 mmtask.exe 90 PID 3148 wrote to memory of 5112 3148 SVCHOST.EXE 91 PID 3148 wrote to memory of 5112 3148 SVCHOST.EXE 91 PID 3148 wrote to memory of 5112 3148 SVCHOST.EXE 91 PID 3148 wrote to memory of 4596 3148 SVCHOST.EXE 92 PID 3148 wrote to memory of 4596 3148 SVCHOST.EXE 92 PID 3148 wrote to memory of 4596 3148 SVCHOST.EXE 92 PID 3148 wrote to memory of 2440 3148 SVCHOST.EXE 93 PID 3148 wrote to memory of 2440 3148 SVCHOST.EXE 93 PID 3148 wrote to memory of 2440 3148 SVCHOST.EXE 93 PID 3148 wrote to memory of 2936 3148 SVCHOST.EXE 94 PID 3148 wrote to memory of 2936 3148 SVCHOST.EXE 94 PID 3148 wrote to memory of 2936 3148 SVCHOST.EXE 94 PID 2936 wrote to memory of 5088 2936 SVCHOST.EXE 95 PID 2936 wrote to memory of 5088 2936 SVCHOST.EXE 95 PID 2936 wrote to memory of 5088 2936 SVCHOST.EXE 95 PID 2936 wrote to memory of 2332 2936 SVCHOST.EXE 147 PID 2936 wrote to memory of 2332 2936 SVCHOST.EXE 147 PID 2936 wrote to memory of 2332 2936 SVCHOST.EXE 147 PID 2936 wrote to memory of 3576 2936 SVCHOST.EXE 97 PID 2936 wrote to memory of 3576 2936 SVCHOST.EXE 97 PID 2936 wrote to memory of 3576 2936 SVCHOST.EXE 97 PID 2936 wrote to memory of 4220 2936 SVCHOST.EXE 99 PID 2936 wrote to memory of 4220 2936 SVCHOST.EXE 99 PID 2936 wrote to memory of 4220 2936 SVCHOST.EXE 99 PID 1940 wrote to memory of 2684 1940 mmtask.exe 100 PID 1940 wrote to memory of 2684 1940 mmtask.exe 100 PID 1940 wrote to memory of 2684 1940 mmtask.exe 100 PID 2936 wrote to memory of 436 2936 SVCHOST.EXE 101 PID 2936 wrote to memory of 436 2936 SVCHOST.EXE 101 PID 2936 wrote to memory of 436 2936 SVCHOST.EXE 101 PID 3148 wrote to memory of 3472 3148 SVCHOST.EXE 102 PID 3148 wrote to memory of 3472 3148 SVCHOST.EXE 102 PID 3148 wrote to memory of 3472 3148 SVCHOST.EXE 102 PID 2212 wrote to memory of 2032 2212 EBRR.EXE 103 PID 2212 wrote to memory of 2032 2212 EBRR.EXE 103 PID 2212 wrote to memory of 2032 2212 EBRR.EXE 103 PID 2936 wrote to memory of 1352 2936 SVCHOST.EXE 393 PID 2936 wrote to memory of 1352 2936 SVCHOST.EXE 393 PID 2936 wrote to memory of 1352 2936 SVCHOST.EXE 393 PID 3148 wrote to memory of 3728 3148 SVCHOST.EXE 244 PID 3148 wrote to memory of 3728 3148 SVCHOST.EXE 244 PID 3148 wrote to memory of 3728 3148 SVCHOST.EXE 244 PID 2212 wrote to memory of 3144 2212 EBRR.EXE 335
Processes
-
C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe"C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b.exe"1⤵
- Modifies WinLogon for persistence
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:224 -
C:\Windows\SysWOW64\explorer.exeexplorer C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b\2⤵PID:4968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2212 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1940 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:32
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2384
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3148 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:5112
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4596
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Modifies system executable filetype association
- Drops file in System32 directory
- Drops file in Windows directory
- Modifies registry class
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2936 -
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:5088
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2332
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3576
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:4220
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:436
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1352
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:1236
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2368
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3132
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4460
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3228
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:32
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1868
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2080
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4416
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2616
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3756
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2356
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4656
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4860
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1204
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:5076
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1632
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1972
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:5020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4856
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4988
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4492
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3640
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2868
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1760
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:5004
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1352
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1536
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1508
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1812
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4764
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:344
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2144
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1980
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4828
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2148
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2308
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵
- System Location Discovery: System Language Discovery
PID:2016
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4524
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3144
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4956
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4440
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4232
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1388
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3240
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:3988
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2072
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:3984
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:2700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4280
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2392
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1352
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3912
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1792
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2520
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4728
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4196
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3092
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4312
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3532
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4824
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3756
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2148
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4612
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:868
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4892
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3168
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4116
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4364
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3756
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3240
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4080
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4844
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3508
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1768
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3076
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4084
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:2708
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4484
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1556
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3600
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3660
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2388
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4724
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:2368
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:5092
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4436
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4160
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4316
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3152
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3804
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:1884
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4116
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1812
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4436
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1020
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3236
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4748
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1768
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3696
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1184
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4856
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵
- System Location Discovery: System Language Discovery
PID:4768
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3020
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1392
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2892
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2700
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:5064
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4092
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2996
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2392
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1612
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:32
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4948
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:388
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3180
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2520
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1884
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1792
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1528
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3096
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4644
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4276
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1860
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2568
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2452
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4192
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4948
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2540
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4412
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4376
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2700
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2584
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:60
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:632
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1584
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3960
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1576
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4412
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:868
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4636
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4392
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:4384
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:208
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3608
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1424
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4648
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3248
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2772
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4824
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4392
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2356
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:5100
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3668
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:1416
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:640
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:1772
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:512
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:2520
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1756
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:2420
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:3168
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4256
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:2920
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3668
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:2004
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:5036
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1628
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:4616
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:4500
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:4440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:3180
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s6⤵PID:3972
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s6⤵PID:1584
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s6⤵PID:3188
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s6⤵PID:1948
-
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3472
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3728
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4580
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2944
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1756
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1396
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4400
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2964
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:3660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- Executes dropped EXE
PID:4580
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4940
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2392
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1184
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4368
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:320
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4472
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3660
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4644
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2756
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1756
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3468
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:348
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4452
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1576
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2820
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3000
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4276
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:3676
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2356
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:552
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4452
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:440
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4704
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1108
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3696
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4120
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵
- System Location Discovery: System Language Discovery
PID:4304
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4528
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2068
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3972
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2772
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4616
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:2416
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4276
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2520
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:4400
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1624
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:320
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2656
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4452
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1900
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4856
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2632
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3192
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3000
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4500
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3908
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1768
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:116
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1156
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4912
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1792
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4448
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4500
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:736
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3228
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:116
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4488
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4292
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:3912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1556
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2460
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:5020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4300
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2356
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2656
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4524
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:3188
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3096
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2460
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3224
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:624
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4232
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4728
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:1792
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3092
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2820
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2772
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:3220
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1544
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4300
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3000
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2400
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4160
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3184
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:116
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1676
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1352
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2616
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵
- System Location Discovery: System Language Discovery
PID:184
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4300
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:5072
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2540
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4712
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:5008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2004
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2820
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:644
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3756
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4148
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:5100
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4160
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3188
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4312
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3452
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2772
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3168
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3444
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4892
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4728
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4764
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3000
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4412
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4724
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3532
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2420
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1068
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:3972
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2920
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4400
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:3936
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:5004
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3152
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2016
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2420
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2236
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2068
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1556
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:748
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4400
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2892
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4748
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1544
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4092
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:1552
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1884
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2760
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2920
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:3284
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:2876
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:5004
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2360
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1560
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:868
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:5020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4860
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4892
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1976
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4744
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4956
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1716
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:116
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2060
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1536
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4972
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4768
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4436
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4160
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:4000
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:2416
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:4516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:4412
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:1652
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:4572
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:2516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:2568
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:5104
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s5⤵PID:3468
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s5⤵PID:1268
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s5⤵PID:1020
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s5⤵PID:784
-
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2684
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4412
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4896
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4296
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:1236
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4956
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:348
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4080
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:892
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1860
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4232
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4940
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3756
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1256
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:3912
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3584
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3908
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3092
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:3144
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3964
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4120
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2308
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2200
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4448
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:1584
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4596
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2460
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1156
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4384
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:896
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4500
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:220
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2924
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:5076
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1108
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:4084
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1772
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1376
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:5108
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2016
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4988
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1068
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1416
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:656
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:5028
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2308
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:4108
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4612
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵
- System Location Discovery: System Language Discovery
PID:1628
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1984
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:624
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4392
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4388
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2236
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4976
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3264
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3076
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4972
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4232
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:984
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2068
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4932
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:3728
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2836
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:4596
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:1108
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:4276
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2128
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:348
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4232
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:344
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2940
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1292
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:3968
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4800
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4856
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1652
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1948
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:896
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3188
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1576
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:5112
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2700
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3536
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4208
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2016
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3228
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4468
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2836
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:736
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4292
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵
- System Location Discovery: System Language Discovery
PID:3444
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:748
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4592
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4456
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4388
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3096
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2360
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:5076
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1984
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1884
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2616
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3980
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1508
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:400
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4108
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:4316
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:868
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:736
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3076
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1872
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1712
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4080
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:228
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4576
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:116
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2092
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3248
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:1560
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:928
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2852
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3860
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:748
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:5072
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4656
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3476
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:4120
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4072
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3980
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2568
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1268
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1624
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:440
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:464
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4644
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3476
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:656
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3756
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4856
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:1976
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:5100
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2080
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:3400
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:624
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:736
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:2672
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1756
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:2284
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3980
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:344
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3960
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3412
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1676
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:3376
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3132
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:5028
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:4084
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:320
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:3980
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:5104
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2916
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:5108
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1164
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3236
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:3448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:680
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:2460
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3132
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:2520
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4300
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s4⤵PID:1792
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s4⤵PID:3020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s4⤵PID:1508
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s4⤵PID:4580
-
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2032
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3144
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3980
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:3936
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2300
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3948
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:5024
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- Executes dropped EXE
PID:4776
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3152
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1716
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3524
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4492
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3536
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1584
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3952
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3076
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2636
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2092
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2920
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3012
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:4884
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4896
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3332
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2376
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:5024
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3128
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1104
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4488
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2240
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2068
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:404
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:5100
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:5076
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1860
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4608
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3804
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:3524
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3220
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4844
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1864
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3332
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1700
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:3180
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2148
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:60
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2200
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4844
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1424
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3076
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1192
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4804
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2220
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:1184
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1772
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1508
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3412
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1020
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4988
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4136
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1884
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2220
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4656
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2300
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1448
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3188
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2924
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3508
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1984
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4632
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4288
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4384
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2200
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:3972
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3960
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1760
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3600
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:624
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1948
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:928
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1612
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4528
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1332
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:208
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1204
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4416
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- System Location Discovery: System Language Discovery
PID:4488
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3468
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:4440
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1092
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2452
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4448
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4500
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1204
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- System Location Discovery: System Language Discovery
PID:2144
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3452
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1980
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵
- System Location Discovery: System Language Discovery
PID:780
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵
- System Location Discovery: System Language Discovery
PID:2568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1556
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1864
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4704
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1204
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3332
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4084
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3284
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2032
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4232
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:552
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4580
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4472
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:388
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4832
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4120
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1544
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1184
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4460
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3584
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2072
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2540
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3588
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:680
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4468
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:348
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3468
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1948
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4492
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2992
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1332
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3124
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:2836
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3220
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1368
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4364
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4384
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4876
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4232
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4988
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:3608
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4828
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2604
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:640
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1768
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4440
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2392
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1760
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1948
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1612
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:5072
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1048
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:640
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3152
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:1756
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3536
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:3640
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4752
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:4976
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3236
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1508
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3964
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3676
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4724
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:3028
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:1652
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3012
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2352
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4192
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4728
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2940
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:5008
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4804
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4516
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2956
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:2476
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:3012
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2992
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:3908
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4976
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:220
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:3400
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:2400
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2388
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:4504
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:4636
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:984
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s3⤵PID:2508
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s3⤵PID:1184
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s3⤵PID:1528
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s3⤵PID:4600
-
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4940
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1716
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4956
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:3468
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1584
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
PID:3332
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3024
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2384
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2940
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- Executes dropped EXE
PID:3448
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4232
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2020
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3960
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:516
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4764
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3016
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:868
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3128
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2576
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:4120
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2708
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3936
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4524
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4596
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1292
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3728
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1416
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2148
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2368
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2892
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1092
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:4388
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:5036
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2440
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1972
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3128
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2876
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1352
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2236
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:208
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1020
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:5036
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2420
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:4864
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4644
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:4724
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵
- System Location Discovery: System Language Discovery
PID:1552
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2584
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1268
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3968
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3124
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2020
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4956
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1536
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4448
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3620
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1760
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3264
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4660
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4876
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:388
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:5104
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2584
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4208
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2868
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:4160
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4844
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1768
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4660
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1900
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:2368
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:228
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2916
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:3000
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:404
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1204
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:564
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:1192
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3168
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4572
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:896
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2400
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3936
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4988
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4136
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2092
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3152
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3128
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1700
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2920
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4764
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1292
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:640
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1764
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2420
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4912
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4940
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4868
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3860
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:4388
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1760
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2004
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:5064
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4956
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1368
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1652
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1552
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:780
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵
- System Location Discovery: System Language Discovery
PID:220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4108
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3996
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2604
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4804
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2412
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4500
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3016
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1268
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1388
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4744
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3124
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3996
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2476
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3332
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4092
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4876
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2852
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3632
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:220
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3936
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3448
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2956
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4704
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2412
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1352
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4284
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4572
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1948
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1880
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4436
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3092
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2516
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:624
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3952
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4832
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3240
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4484
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2356
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3632
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2920
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1424
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4596
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2516
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:2956
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2476
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3180
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1068
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:5104
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1568
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4232
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:2128
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3448
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1716
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:116
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:5028
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3180
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2420
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1104
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:5104
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1160
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:748
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1448
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3936
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:388
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:3184
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:1368
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:1868
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:4492
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:1104
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4876
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:3468
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3860
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2032
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:3412
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4800
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:5064
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4900
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:4116
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4304
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:1536
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:2584
-
-
C:\Windows\system\SVCHOST.EXEC:\Windows\system\SVCHOST.EXE -s2⤵PID:2992
-
-
C:\Windows\SysWOW64\EBRR.EXEC:\Windows\system32\EBRR.EXE -s2⤵PID:4752
-
-
C:\Windows\SysWOW64\mmtask.exeC:\Windows\system32\mmtask.exe -s2⤵PID:3860
-
-
C:\Windows\SVCHOST.EXEC:\Windows\SVCHOST.EXE -s2⤵PID:4136
-
-
C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding1⤵
- Modifies Internet Explorer settings
- Modifies registry class
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
PID:1200
-
C:\Windows\System32\rundll32.exeC:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding1⤵PID:2980
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv1⤵PID:2332
-
C:\Windows\System32\mousocoreworker.exeC:\Windows\System32\mousocoreworker.exe -Embedding1⤵PID:2964
-
C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exeC:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe -Embedding1⤵PID:4932
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
1Winlogon Helper DLL
1Event Triggered Execution
1Change Default File Association
1Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\e8190292dfe9da135666f495c06f8d5c2627dd86e9702eefab0bf8f2076f167b\Cantik.bmp
Filesize64KB
MD57ab9246655e40e5d922e1f92560128f5
SHA1a989d0611485d2429f5b33a4124126415b02390f
SHA2563ed10a9452b56114f9f6fb3f65f02e8d6b906897271793e4b410c08e3bde9772
SHA5123fe741419bc727d23f18b0979dbadeaa69d418a7f290c816afaf2c4eabd1475ff4f7b543ea699e93f0dce96592e058a55e7a9f0aa3094c200a863df40c4b2c50
-
Filesize
92KB
MD5a2c206202c4013be2c4283078e0b7bd8
SHA1326e493c5c4020a79accdda77c83309fa9f6ced4
SHA256c64121e99b842fd9cc81e66f139b91342cfedfca8eee58d4f24f38b9fb8b3a67
SHA5125b93ce0ab06036c450f731ba646e406f042cedbe1c688b44c7ccb425f5f20cd178c0fc5516136886a7ec39f06757909a6ef50e9f22d7e2be3ea5fd7e25bcc79d
-
Filesize
92KB
MD55e5044ca375dc750ad05d6ef189edd33
SHA1072db49838ce9a6f9ab6ca889c702bf11d90d4e0
SHA256ead765e49647366c781f9b3c562ddd30eac02c7a6864479500bb2c9b5266d7d2
SHA5128667470b07d635acfe95357a2dc0823b630c5d184a362eb128931041bd27a56093ec8d8011ea629255671019f07c0c5080f869b8cba353758e717ba87120600f
-
Filesize
92KB
MD56028438d35c4f1f2e4e09df3fa97e245
SHA11a2237cef108992089a22121123a95a0f2290206
SHA256ecfdabc1247a228338f7adb4d98276853a589ce63e2507bdf85c144baf71be9b
SHA5127e455ea9c0cddc22f8b451a623390d4dcfa0d36f877cd3833852dd5c9b1dfabb3e4808fe03c6589b96bf8c513f876637de4a3f363ea303cf21e6c4acb756ae13
-
Filesize
92KB
MD5386b13f63b7a899f850b18af4dc2cb18
SHA14d24112a563aab21b85e4d6caa67a3a86397bd4c
SHA2569939c87c0c2c22b4dea02c62075a46b681ca7c86ca39c732e1e02fda83aec629
SHA5125bd7c990ac331d5a1e9df4699e3f98aeff90c197dc9e093528d4612fa944da32358a75ab5950b8e9f236a2721d2c99f3dae761171a568ff7865e773ef9a7f4b0