sality | dc413169ecb6fb9d01fb0471762ac856c029735f7be0b13da02f4798cf8fd864

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\explorer.exe"	explorer.exe

Modifies firewall policy service 3 TTPs 6 IoCs

Modify Registry

Windows Service

T1543.003

Disable or Modify System Firewall

T1562.004

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall = "0"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions = "0"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall = "0"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions = "0"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe

Modifies visibility of file extensions in Explorer 2 TTPs 1 IoCs

Hidden Files and Directories

T1564.001

Modify Registry

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-4050598569-1597076380-177084960-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 2 IoCs

Hidden Files and Directories

T1564.001

Modify Registry

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-4050598569-1597076380-177084960-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	rundll32.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-4050598569-1597076380-177084960-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe

Sality
Sality is backdoor written in C++, first discovered in 2003.
backdoor sality
Sality family
sality

UAC bypass 3 TTPs 2 IoCs

Bypass User Account Control

T1548.002

Disable or Modify Tools

Modify Registry

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	explorer.exe

Windows security bypass 2 TTPs 12 IoCs

Disable or Modify Tools

Modify Registry

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 2 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	explorer.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "c:\\windows\\system32\\drivers\\mr.exe"	explorer.exe

Disables RegEdit via registry modification 2 IoCs

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-4050598569-1597076380-177084960-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-4050598569-1597076380-177084960-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools = "1"	explorer.exe

Disables Task Manager via registry modification
evasion

Drops file in Drivers directory 2 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\SysWOW64\drivers\spoolsv.exe	explorer.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\mr.exe	explorer.exe

Deletes itself 1 IoCs

pid	Process
3636	explorer.exe

Executes dropped EXE 64 IoCs

pid	Process
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
4008	icsys.icn.exe
3636	explorer.exe
4676	spoolsv.exe
1668	explorer.exe
1200	spoolsv.exe
2628	explorer.exe
3928	spoolsv.exe
2508	rundll32.exe
1028	explorer.exe
748	spoolsv.exe
384	explorer.exe
4128	spoolsv.exe
1452	explorer.exe
4120	spoolsv.exe
1592	explorer.exe
3444	spoolsv.exe
4628	explorer.exe
3360	spoolsv.exe
3056	explorer.exe
2896	spoolsv.exe
1800	explorer.exe
1364	spoolsv.exe
2108	explorer.exe
4616	spoolsv.exe
736	explorer.exe
3392	spoolsv.exe
4960	explorer.exe
4308	spoolsv.exe
2100	explorer.exe
3728	spoolsv.exe
3744	explorer.exe
3904	spoolsv.exe
1504	explorer.exe
3956	spoolsv.exe
2008	explorer.exe
4464	spoolsv.exe
216	explorer.exe
324	spoolsv.exe
1524	explorer.exe
1272	spoolsv.exe
4904	explorer.exe
1880	spoolsv.exe
760	explorer.exe
3720	spoolsv.exe
424	explorer.exe
3304	spoolsv.exe
3668	explorer.exe
4236	spoolsv.exe
408	explorer.exe
4276	spoolsv.exe
4256	explorer.exe
4152	spoolsv.exe
1552	explorer.exe
2184	spoolsv.exe
4004	explorer.exe
2808	spoolsv.exe
116	explorer.exe
1304	spoolsv.exe
2956	explorer.exe
5012	spoolsv.exe
4472	explorer.exe
60	spoolsv.exe
3856	explorer.exe

Windows security modification 2 TTPs 14 IoCs

Disable or Modify Tools

Modify Registry

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\Svc	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\Svc	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	explorer.exe

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\Explorer = "c:\\windows\\system\\explorer.exe"	explorer.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4050598569-1597076380-177084960-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows = "C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Office\\rundll32.exe"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe

Checks whether UAC is enabled 1 TTPs 2 IoCs

System Information Discovery

T1082

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	explorer.exe

Enumerates connected drives 3 TTPs 25 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\E:	explorer.exe
File opened (read-only)	\??\I:	rundll32.exe
File opened (read-only)	\??\M:	rundll32.exe
File opened (read-only)	\??\R:	rundll32.exe
File opened (read-only)	\??\V:	rundll32.exe
File opened (read-only)	\??\X:	rundll32.exe
File opened (read-only)	\??\U:	rundll32.exe
File opened (read-only)	\??\Y:	rundll32.exe
File opened (read-only)	\??\A:	rundll32.exe
File opened (read-only)	\??\E:	rundll32.exe
File opened (read-only)	\??\H:	rundll32.exe
File opened (read-only)	\??\O:	rundll32.exe
File opened (read-only)	\??\Q:	rundll32.exe
File opened (read-only)	\??\B:	rundll32.exe
File opened (read-only)	\??\J:	rundll32.exe
File opened (read-only)	\??\L:	rundll32.exe
File opened (read-only)	\??\P:	rundll32.exe
File opened (read-only)	\??\Z:	rundll32.exe
File opened (read-only)	\??\T:	rundll32.exe
File opened (read-only)	\??\W:	rundll32.exe
File opened (read-only)	\??\E:	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
File opened (read-only)	\??\G:	rundll32.exe
File opened (read-only)	\??\K:	rundll32.exe
File opened (read-only)	\??\N:	rundll32.exe
File opened (read-only)	\??\S:	rundll32.exe

UPX packed file 26 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2188-9-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-15-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-14-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-22-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-13-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-12-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-11-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-23-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-27-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-30-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-63-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-66-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-76-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-78-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-77-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/2188-92-0x0000000003320000-0x00000000043AE000-memory.dmp	upx
behavioral2/memory/3636-309-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-310-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-308-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-307-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-306-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-305-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-301-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-304-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-303-0x00000000037A0000-0x000000000482E000-memory.dmp	upx
behavioral2/memory/3636-324-0x00000000037A0000-0x000000000482E000-memory.dmp	upx

Drops file in Windows directory 3 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SYSTEM.INI	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
File opened for modification	\??\c:\windows\system\explorer.exe	icsys.icn.exe
File opened for modification	\??\c:\windows\system\explorer.exe	explorer.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	icsys.icn.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	spoolsv.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
4008	icsys.icn.exe
4008	icsys.icn.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe
3636	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Token: SeDebugPrivilege	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe
2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe
2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
4008	icsys.icn.exe
4008	icsys.icn.exe
3636	explorer.exe
3636	explorer.exe
4676	spoolsv.exe
4676	spoolsv.exe
1668	explorer.exe
1668	explorer.exe
3636	explorer.exe
3636	explorer.exe
1200	spoolsv.exe
1200	spoolsv.exe
2628	explorer.exe
2628	explorer.exe
3928	spoolsv.exe
3928	spoolsv.exe
1028	explorer.exe
1028	explorer.exe
2508	rundll32.exe
748	spoolsv.exe
748	spoolsv.exe
384	explorer.exe
384	explorer.exe
4128	spoolsv.exe
4128	spoolsv.exe
1452	explorer.exe
1452	explorer.exe
4120	spoolsv.exe
4120	spoolsv.exe
1592	explorer.exe
1592	explorer.exe
3444	spoolsv.exe
3444	spoolsv.exe
4628	explorer.exe
4628	explorer.exe
3360	spoolsv.exe
3360	spoolsv.exe
3056	explorer.exe
3056	explorer.exe
2896	spoolsv.exe
2896	spoolsv.exe
1800	explorer.exe
1800	explorer.exe
1364	spoolsv.exe
1364	spoolsv.exe
2108	explorer.exe
2108	explorer.exe
4616	spoolsv.exe
4616	spoolsv.exe
736	explorer.exe
736	explorer.exe
3392	spoolsv.exe
3392	spoolsv.exe
4960	explorer.exe
4960	explorer.exe
4308	spoolsv.exe
4308	spoolsv.exe
2100	explorer.exe
2100	explorer.exe
3728	spoolsv.exe
3728	spoolsv.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2152 wrote to memory of 2188	2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe	82
PID 2152 wrote to memory of 2188	2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe	82
PID 2152 wrote to memory of 2188	2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe	82
PID 2188 wrote to memory of 776	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	8
PID 2188 wrote to memory of 784	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	9
PID 2188 wrote to memory of 64	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	13
PID 2188 wrote to memory of 2872	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	49
PID 2188 wrote to memory of 2920	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	50
PID 2188 wrote to memory of 2992	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	51
PID 2188 wrote to memory of 3468	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	56
PID 2188 wrote to memory of 3600	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	57
PID 2188 wrote to memory of 3780	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	58
PID 2188 wrote to memory of 3872	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	59
PID 2188 wrote to memory of 3940	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	60
PID 2188 wrote to memory of 4012	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	61
PID 2188 wrote to memory of 4224	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	62
PID 2188 wrote to memory of 1456	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	74
PID 2188 wrote to memory of 2932	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	76
PID 2188 wrote to memory of 2152	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	81
PID 2188 wrote to memory of 2152	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	81
PID 2152 wrote to memory of 4008	2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe	83
PID 2152 wrote to memory of 4008	2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe	83
PID 2152 wrote to memory of 4008	2152	d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe	83
PID 4008 wrote to memory of 3636	4008	icsys.icn.exe	84
PID 4008 wrote to memory of 3636	4008	icsys.icn.exe	84
PID 4008 wrote to memory of 3636	4008	icsys.icn.exe	84
PID 3636 wrote to memory of 4676	3636	explorer.exe	85
PID 3636 wrote to memory of 4676	3636	explorer.exe	85
PID 3636 wrote to memory of 4676	3636	explorer.exe	85
PID 4676 wrote to memory of 1668	4676	spoolsv.exe	86
PID 4676 wrote to memory of 1668	4676	spoolsv.exe	86
PID 4676 wrote to memory of 1668	4676	spoolsv.exe	86
PID 3636 wrote to memory of 1200	3636	explorer.exe	87
PID 3636 wrote to memory of 1200	3636	explorer.exe	87
PID 3636 wrote to memory of 1200	3636	explorer.exe	87
PID 1200 wrote to memory of 2628	1200	spoolsv.exe	88
PID 1200 wrote to memory of 2628	1200	spoolsv.exe	88
PID 1200 wrote to memory of 2628	1200	spoolsv.exe	88
PID 2188 wrote to memory of 776	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	8
PID 2188 wrote to memory of 784	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	9
PID 2188 wrote to memory of 64	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	13
PID 2188 wrote to memory of 2872	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	49
PID 2188 wrote to memory of 2920	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	50
PID 2188 wrote to memory of 2992	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	51
PID 2188 wrote to memory of 3468	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	56
PID 2188 wrote to memory of 3600	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	57
PID 2188 wrote to memory of 3780	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	58
PID 2188 wrote to memory of 3872	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	59
PID 2188 wrote to memory of 3940	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	60
PID 2188 wrote to memory of 4012	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	61
PID 2188 wrote to memory of 4224	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	62
PID 2188 wrote to memory of 1456	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	74
PID 2188 wrote to memory of 2932	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	76
PID 2188 wrote to memory of 3636	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	84
PID 2188 wrote to memory of 3636	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	84
PID 3636 wrote to memory of 3928	3636	explorer.exe	89
PID 3636 wrote to memory of 3928	3636	explorer.exe	89
PID 3636 wrote to memory of 3928	3636	explorer.exe	89
PID 2188 wrote to memory of 2508	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	90
PID 2188 wrote to memory of 2508	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	90
PID 2188 wrote to memory of 2508	2188	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe	90
PID 3928 wrote to memory of 1028	3928	spoolsv.exe	91
PID 3928 wrote to memory of 1028	3928	spoolsv.exe	91
PID 3928 wrote to memory of 1028	3928	spoolsv.exe	91

System policy modification 1 TTPs 2 IoCs

Modify Registry

description	ioc	Process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	explorer.exe

C:\Windows\system32\fontdrvhost.exe
"fontdrvhost.exe"
1⤵
PID:776

C:\Windows\system32\fontdrvhost.exe
"fontdrvhost.exe"
1⤵
PID:784

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:64

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:2872

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k UnistackSvcGroup -s CDPUserSvc
1⤵
PID:2920

C:\Windows\system32\taskhostw.exe
taskhostw.exe {222A245B-E637-4AE9-A93F-A59CA119A75E}
1⤵
PID:2992

C:\Windows\Explorer.EXE
C:\Windows\Explorer.EXE
1⤵
PID:3468
- C:\Users\Admin\AppData\Local\Temp\d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe
  "C:\Users\Admin\AppData\Local\Temp\d55bfadd3198563f7009234243c20db0_JaffaCakes118.exe"
  2⤵
  - System Location Discovery: System Language Discovery
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:2152
- - \??\c:\users\admin\appdata\local\temp\d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
    c:\users\admin\appdata\local\temp\d55bfadd3198563f7009234243c20db0_jaffacakes118.exe
    3⤵
    - Modifies firewall policy service
    - Modifies visibility of file extensions in Explorer
    - Modifies visiblity of hidden/system files in Explorer
    - UAC bypass
    - Windows security bypass
    - Disables RegEdit via registry modification
    - Executes dropped EXE
    - Windows security modification
    - Adds Run key to start application
    - Checks whether UAC is enabled
    - Enumerates connected drives
    - Drops file in Windows directory
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    - System policy modification
    PID:2188
  - - C:\Users\Admin\AppData\Roaming\Microsoft\Office\rundll32.exe
      C:\Users\Admin\AppData\Roaming\Microsoft\Office\rundll32.exe
      4⤵
      Modifies visiblity of hidden/system files in Explorer
      Executes dropped EXE
      Enumerates connected drives
      System Location Discovery: System Language Discovery
      Suspicious use of SetWindowsHookEx
      PID:2508
- - C:\Users\Admin\AppData\Roaming\icsys.icn.exe
    C:\Users\Admin\AppData\Roaming\icsys.icn.exe
    3⤵
    - Executes dropped EXE
    - Drops file in Windows directory
    - System Location Discovery: System Language Discovery
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:4008
  - - \??\c:\windows\system\explorer.exe
      c:\windows\system\explorer.exe
      4⤵
      Modifies WinLogon for persistence
      Modifies firewall policy service
      UAC bypass
      Windows security bypass
      Boot or Logon Autostart Execution: Active Setup
      Disables RegEdit via registry modification
      Drops file in Drivers directory
      Deletes itself
      Executes dropped EXE
      Windows security modification
      Adds Run key to start application
      Checks whether UAC is enabled
      Enumerates connected drives
      Drops file in Windows directory
      System Location Discovery: System Language Discovery
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      System policy modification
      PID:3636
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        Suspicious use of WriteProcessMemory
        
        PID:4676
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:1668
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        Suspicious use of WriteProcessMemory
        
        PID:1200
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:2628
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        Suspicious use of WriteProcessMemory
        
        PID:3928
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:1028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:384
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:4128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1452
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4120
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:1592
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:3444
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:4628
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:3360
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:3056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:2896
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:1800
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1364
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:2108
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4616
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:736
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:3392
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:4960
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:4308
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:2100
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of SetWindowsHookEx
        
        PID:3728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:3744
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        
        PID:3904
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:1504
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:3956
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:2008
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4464
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:216
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:324
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:1524
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        
        PID:1272
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4904
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        
        PID:1880
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:760
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        
        PID:3720
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:424
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:3304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        
        PID:3668
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        
        PID:4236
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:408
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4276
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4256
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4152
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        
        PID:1552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:2184
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4004
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        
        PID:2808
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        
        PID:116
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:1304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:2956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:5012
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        
        PID:4472
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:60
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        Executes dropped EXE
        
        PID:3856
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:2436
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:1160
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:536
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:1424
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2008
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3812
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:216
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:4936
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1428
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:868
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2204
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:4504
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:2860
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2300
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:376
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3388
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1528
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3008
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4276
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3436
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3536
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4880
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2176
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3080
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2144
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:860
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4104
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4780
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1584
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3360
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4180
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1284
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2024
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3856
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3544
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1960
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4036
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2324
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3996
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1568
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2916
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:824
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4480
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2216
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4504
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3668
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3720
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2960
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:376
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2792
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1664
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4276
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2184
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4764
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2060
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1700
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:856
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4372
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4732
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:620
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3444
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4576
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:184
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:736
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1632
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3972
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3544
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4724
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:528
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1216
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1160
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3812
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2916
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2584
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4480
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:424
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4048
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3624
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4784
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4256
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2304
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3952
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:384
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2760
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1060
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2144
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2852
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1832
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3896
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2560
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1736
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1000
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3924
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4900
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:528
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2200
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:536
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4968
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3204
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:216
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2216
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2204
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1608
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4844
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2476
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4932
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4784
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3832
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2304
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:368
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2752
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4424
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4280
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4128
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4956
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3364
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3120
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3044
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2580
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3020
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4636
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1196
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1592
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4036
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2008
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4420
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4556
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1696
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4480
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:868
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:220
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1144
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3680
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3388
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2640
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:992
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2748
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3008
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3160
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3952
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4940
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4004
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2852
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3412
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:660
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1836
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4516
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3120
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2712
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:184
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2976
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4636
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3632
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1960
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2200
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4420
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1392
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4556
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1016
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4480
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1144
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3184
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3680
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3656
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:544
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4932
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4944
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1232
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4152
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4748
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4940
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:768
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4280
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4492
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4372
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4576
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1308
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3452
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4200
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1736
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1892
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3856
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4884
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4452
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1424
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2348
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3396
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:400
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2380
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4556
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4540
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3668
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1708
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2700
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3680
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3656
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5032
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:460
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3080
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1764
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1380
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1052
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2284
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2260
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2068
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5056
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1304
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4576
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:380
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3452
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3612
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1736
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4896
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1892
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3724
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4452
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:60
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3396
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:952
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3204
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4556
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3304
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3652
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3184
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1724
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:376
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1200
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3536
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2192
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:908
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2060
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3640
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4424
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1052
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1572
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3832
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:620
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4472
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3484
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1304
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1772
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4620
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3452
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:528
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1120
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4128
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:536
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2200
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4180
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4436
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4588
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4232
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:868
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:408
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2476
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4600
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1664
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:544
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3232
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1764
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1440
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4748
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2284
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2356
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3128
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4296
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4372
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4576
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2100
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3044
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3612
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3452
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4036
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1120
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1892
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4376
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3724
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2348
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1424
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:216
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:512
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1248
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3572
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:824
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1880
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1112
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2700
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1724
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1480
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3536
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2192
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:368
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4544
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3160
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4692
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2676
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1060
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1740
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3832
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1448
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3444
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1000
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4516
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2900
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3120
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3924
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1632
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1704
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3564
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4108
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2008
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1104
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:536
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3032
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2804
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1392
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3456
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1144
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4736
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4536
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2288
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4324
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:212
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2584
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4416
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2748
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4124
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5116
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4764
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1012
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4004
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:768
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1232
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2260
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1116
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3896
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:620
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4472
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4172
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1284
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3020
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:964
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3924
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5012
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1632
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3788
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:648
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1892
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4456
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3724
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3032
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1424
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3968
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4232
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3572
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3720
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1652
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4932
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3672
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4944
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4120
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:544
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1200
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3080
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2192
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2792
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5028
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:748
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:856
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2752
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4424
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1308
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4372
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4472
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2900
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1284
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4732
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:964
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1704
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2428
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4108
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3788
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4376
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3912
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3724
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4776
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1424
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3668
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1272
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2208
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4836
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2756
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1376
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1480
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3672
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2760
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4120
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4112
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4124
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3232
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1764
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:384
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4004
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4532
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:856
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4080
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4296
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4260
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1772
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2580
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4516
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1196
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3020
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4268
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:964
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1568
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4160
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3812
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3788
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4456
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2228
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2628
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:216
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4556
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4284
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:408
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3652
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4836
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3184
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2640
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3680
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4944
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5116
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1620
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2692
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3080
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4940
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1764
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1052
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:856
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4576
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3696
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2976
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2900
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3924
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4732
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1592
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:648
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4108
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1892
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2308
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1392
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3204
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1528
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1144
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:824
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2288
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:408
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1112
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2756
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3536
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1480
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1700
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3672
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4544
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2792
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3080
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1060
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:384
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4524
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1420
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1000
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4576
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4200
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2552
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1728
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3612
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3020
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:60
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:964
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:536
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1444
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4588
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1996
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1708
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2204
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4416
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1664
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1696
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2352
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3008
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1480
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4112
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2760
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4140
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3796
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2060
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:860
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5028
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:636
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5056
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:620
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2716
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1000
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4472
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:908
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1772
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1728
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1196
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:728
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:832
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4732
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3396
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3700
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3508
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4108
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4848
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2804
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1956
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3912
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4736
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3572
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:376
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2220
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3420
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5032
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1112
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3904
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1380
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3680
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3672
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1292
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2676
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4316
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1620
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3356
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1060
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2956
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1900
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1420
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2364
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4200
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3948
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:672
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4516
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3612
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5012
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4460
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4968
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4436
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1464
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4456
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2172
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4324
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3092
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2208
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1248
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4024
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:212
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2324
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5032
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4028
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2352
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3536
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1012
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3640
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2760
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4140
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4448
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:860
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1192
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1448
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3444
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1000
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3096
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4172
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3948
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1856
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3612
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:528
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4732
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1568
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2860
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4588
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4776
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3464
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2148
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2904
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2208
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:408
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1248
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1104
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3420
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4152
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:368
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1700
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1012
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2692
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2760
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1660
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:864
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4280
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2060
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2652
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4524
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:760
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2084
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3896
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2580
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4620
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2900
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2100
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3544
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4452
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:832
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3020
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3396
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3700
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3508
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4108
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4848
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2308
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2476
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3320
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:216
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2148
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2328
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2904
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4932
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2680
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4416
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1248
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3420
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1664
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4152
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2728
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2392
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3160
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2692
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2792
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2068
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2096
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3080
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:5028
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5056
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4424
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4652
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2356
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2216
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4724
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3452
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3948
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4656
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4268
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1812
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3956
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4540
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4464
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3436
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:208
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3616
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3912
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:800
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4952
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:376
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4416
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5032
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:928
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1664
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:852
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4152
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:324
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2392
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1660
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2692
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4748
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2060
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3832
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4524
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4424
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3056
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1052
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3896
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4532
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1244
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1908
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:672
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2348
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4460
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3812
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4444
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2804
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3368
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2308
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:728
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2224
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1144
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4556
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4376
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3304
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2584
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:408
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1828
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2732
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1104
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1552
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2300
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1480
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4304
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2444
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2192
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3796
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2692
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1308
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2260
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:384
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4888
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1628
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:616
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3444
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2356
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1284
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:60
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2656
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3396
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1896
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4864
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3908
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4968
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4456
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2172
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1608
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3404
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1592
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3668
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4488
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1148
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1652
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1452
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2756
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1528
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2868
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3420
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3640
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1380
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3160
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4544
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2792
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2764
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1740
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1232
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:5028
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3356
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4524
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3044
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3128
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2552
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2900
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4896
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:60
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:428
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4436
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1832
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3700
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3508
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3240
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4464
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4844
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1392
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3092
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4284
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4600
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2288
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4952
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1376
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:212
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3792
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4064
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:460
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3536
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1664
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2296
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4612
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4764
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2160
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2444
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:324
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2884
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3392
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4748
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2676
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:620
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3628
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4472
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4888
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2216
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:616
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3948
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1772
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4832
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1284
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4656
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:648
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1444
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1364
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2860
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3764
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4324
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:728
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1608
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1016
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:1716
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1404
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:992
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4104
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3864
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3184
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3488
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2960
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2788
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2144
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2352
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2492
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4212
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:2660
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4976
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:4932
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:2588
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:1192
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:4692
    - - \??\c:\windows\SysWOW64\drivers\spoolsv.exe
        
        c:\windows\system32\drivers\spoolsv.exe
        5⤵
        
        PID:3088
      - \??\c:\windows\system\explorer.exe
        
        c:\windows\system\explorer.exe
        6⤵
        
        PID:3716

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p -s cbdhsvc
1⤵
PID:3600

C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe /Processid:{3EB3C877-1F16-487C-9050-104DBCD66683}
1⤵
PID:3780

C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe
"C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe" -ServerName:App.AppXywbrabmsek0gm3tkwpr5kwzbs55tkqay.mca
1⤵
PID:3872

C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\RuntimeBroker.exe -Embedding
1⤵
PID:3940

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
PID:4012

C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\RuntimeBroker.exe -Embedding
1⤵
PID:4224

C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe
"C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe" -ServerName:InputApp.AppX9jnwykgrccxc8by3hsrsh07r423xzvav.mca
1⤵
PID:1456

C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\RuntimeBroker.exe -Embedding
1⤵
PID:2932

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Create or Modify System Process

T1543

Windows Service

T1543.003

Privilege Escalation

Abuse Elevation Control Mechanism

T1548

Bypass User Account Control

T1548.002

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Create or Modify System Process

T1543

Windows Service

T1543.003

Defense Evasion

Abuse Elevation Control Mechanism

T1548

Bypass User Account Control

T1548.002

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Impair Defenses

T1562

Disable or Modify System Firewall

T1562.004

Disable or Modify Tools

Modify Registry