xmrig | 0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8

Analysis

max time kernel
120s
max time network
112s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
19-12-2024 22:56

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
Size

2.7MB
MD5

b3da58668e5496be668b165c9844e7c0
SHA1

2f15243e9768f5ab0b5db32fa053078dfd7ac8ed
SHA256

0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8
SHA512

3f3e5a3a5ebe2e9d9100416a50c42fc76ec7495d1a4e909fbf71f999ef02e34ee05fbc1d4e56946d9d6c493a23a2a5dc6c8d8960da58774ee1292e7f3310851a
SSDEEP

49152:Lz071uv4BPMkibTIA5sf6r+WVc2HhG82g1Vr5s1PTWsuT9cEOtI6WD:NAB0

Score

10^/10

xmrig execution miner upx

Malware Config

Signatures

Xmrig family
xmrig
xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 40 IoCs

miner

resource	yara_rule
behavioral2/memory/3476-257-0x00007FF747A40000-0x00007FF747E32000-memory.dmp	xmrig
behavioral2/memory/1368-265-0x00007FF71CD80000-0x00007FF71D172000-memory.dmp	xmrig
behavioral2/memory/3644-288-0x00007FF603D60000-0x00007FF604152000-memory.dmp	xmrig
behavioral2/memory/1784-297-0x00007FF6994F0000-0x00007FF6998E2000-memory.dmp	xmrig
behavioral2/memory/1876-301-0x00007FF773B20000-0x00007FF773F12000-memory.dmp	xmrig
behavioral2/memory/848-1116-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp	xmrig
behavioral2/memory/3812-3212-0x00007FF79B4F0000-0x00007FF79B8E2000-memory.dmp	xmrig
behavioral2/memory/1096-3274-0x00007FF704720000-0x00007FF704B12000-memory.dmp	xmrig
behavioral2/memory/2300-3303-0x00007FF6B4C20000-0x00007FF6B5012000-memory.dmp	xmrig
behavioral2/memory/3644-3315-0x00007FF603D60000-0x00007FF604152000-memory.dmp	xmrig
behavioral2/memory/4460-3330-0x00007FF73B820000-0x00007FF73BC12000-memory.dmp	xmrig
behavioral2/memory/1784-3337-0x00007FF6994F0000-0x00007FF6998E2000-memory.dmp	xmrig
behavioral2/memory/848-3781-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp	xmrig
behavioral2/memory/2656-3326-0x00007FF7D29B0000-0x00007FF7D2DA2000-memory.dmp	xmrig
behavioral2/memory/1364-3306-0x00007FF79BBC0000-0x00007FF79BFB2000-memory.dmp	xmrig
behavioral2/memory/1972-3266-0x00007FF731EE0000-0x00007FF7322D2000-memory.dmp	xmrig
behavioral2/memory/1368-3262-0x00007FF71CD80000-0x00007FF71D172000-memory.dmp	xmrig
behavioral2/memory/3092-3254-0x00007FF648490000-0x00007FF648882000-memory.dmp	xmrig
behavioral2/memory/5028-3250-0x00007FF652D20000-0x00007FF653112000-memory.dmp	xmrig
behavioral2/memory/3688-3234-0x00007FF6EFC00000-0x00007FF6EFFF2000-memory.dmp	xmrig
behavioral2/memory/1876-3220-0x00007FF773B20000-0x00007FF773F12000-memory.dmp	xmrig
behavioral2/memory/4460-304-0x00007FF73B820000-0x00007FF73BC12000-memory.dmp	xmrig
behavioral2/memory/5028-303-0x00007FF652D20000-0x00007FF653112000-memory.dmp	xmrig
behavioral2/memory/3092-302-0x00007FF648490000-0x00007FF648882000-memory.dmp	xmrig
behavioral2/memory/3688-300-0x00007FF6EFC00000-0x00007FF6EFFF2000-memory.dmp	xmrig
behavioral2/memory/1096-298-0x00007FF704720000-0x00007FF704B12000-memory.dmp	xmrig
behavioral2/memory/1972-295-0x00007FF731EE0000-0x00007FF7322D2000-memory.dmp	xmrig
behavioral2/memory/2656-290-0x00007FF7D29B0000-0x00007FF7D2DA2000-memory.dmp	xmrig
behavioral2/memory/3484-287-0x00007FF61AD60000-0x00007FF61B152000-memory.dmp	xmrig
behavioral2/memory/3756-281-0x00007FF6F2430000-0x00007FF6F2822000-memory.dmp	xmrig
behavioral2/memory/1364-235-0x00007FF79BBC0000-0x00007FF79BFB2000-memory.dmp	xmrig
behavioral2/memory/2300-222-0x00007FF6B4C20000-0x00007FF6B5012000-memory.dmp	xmrig
behavioral2/memory/3812-209-0x00007FF79B4F0000-0x00007FF79B8E2000-memory.dmp	xmrig
behavioral2/memory/2264-181-0x00007FF785B60000-0x00007FF785F52000-memory.dmp	xmrig
behavioral2/memory/544-166-0x00007FF674E30000-0x00007FF675222000-memory.dmp	xmrig
behavioral2/memory/3940-138-0x00007FF7E6440000-0x00007FF7E6832000-memory.dmp	xmrig
behavioral2/memory/2280-112-0x00007FF662DF0000-0x00007FF6631E2000-memory.dmp	xmrig
behavioral2/memory/3528-93-0x00007FF78EA70000-0x00007FF78EE62000-memory.dmp	xmrig
behavioral2/memory/3928-75-0x00007FF7616A0000-0x00007FF761A92000-memory.dmp	xmrig
behavioral2/memory/4416-55-0x00007FF779410000-0x00007FF779802000-memory.dmp	xmrig

Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs

Powershell Invoke Web Request.

execution

PowerShell

T1059.001

pid	Process
4240	powershell.exe

Executes dropped EXE 64 IoCs

pid	Process
4416	peczqWG.exe
3928	aXZrKZl.exe
3528	keniVuZ.exe
2280	HgKfAww.exe
3940	ubMhNbh.exe
544	toXknZq.exe
2264	ooDSCob.exe
3812	TzSaIkJ.exe
3688	qHtxwkS.exe
2300	EmSbxMJ.exe
1364	AbavsaB.exe
1876	eYjpApq.exe
3476	QNhmTeD.exe
3092	MpXqFjr.exe
1368	QZgBAxA.exe
5028	BmusUyc.exe
3756	iNFVjUJ.exe
3484	MxddoQC.exe
3644	FoAtrhN.exe
2656	VjLaSJy.exe
1972	VYQOwBw.exe
4460	fAiNhDW.exe
1784	KoZthgq.exe
1096	DPdermc.exe
4252	NWhlHpl.exe
1504	vGbjpMw.exe
2064	REdujaf.exe
1968	BTqTMPu.exe
2596	AEhLVfu.exe
1164	eDFwrdj.exe
4224	LvciZmw.exe
1964	BAbXyMH.exe
3744	UxmcAja.exe
4376	SwhChVW.exe
1484	cvkDVoH.exe
2324	DOIAhdu.exe
2448	HWNyhlz.exe
872	TKIAJVF.exe
4568	Apmiaku.exe
4896	ccOwhZI.exe
2452	nRewpoS.exe
4800	FrapCSx.exe
4412	TWqSsrf.exe
3108	AHuCJEF.exe
2032	dpCqLTW.exe
3212	ZMEYJIa.exe
3404	rqODXaf.exe
1388	JTbzBuf.exe
4432	TmrAtPS.exe
5040	qSuOfVo.exe
2996	XeOUjVH.exe
2460	oADSvSK.exe
860	daeqhOm.exe
4340	HuBeOze.exe
4452	wIHPRvU.exe
228	QZLSlhc.exe
2724	aiRWtmX.exe
1340	IEEKHIv.exe
1908	HnBUSEB.exe
3996	tjyzcDm.exe
3840	oYfqrBq.exe
924	CRVybps.exe
5024	XKlEuUU.exe
2196	pQWYHqO.exe

Legitimate hosting services abused for malware hosting/C2 1 TTPs 2 IoCs

Web Service

T1102

flow	ioc
7	raw.githubusercontent.com
8	raw.githubusercontent.com

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/848-0-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp	upx
behavioral2/files/0x000b000000023b80-6.dat	upx
behavioral2/files/0x000a000000023b85-9.dat	upx
behavioral2/files/0x000a000000023b84-18.dat	upx
behavioral2/files/0x000a000000023b8c-52.dat	upx
behavioral2/files/0x000a000000023b94-86.dat	upx
behavioral2/files/0x000a000000023b9a-122.dat	upx
behavioral2/files/0x000b000000023b92-147.dat	upx
behavioral2/files/0x000a000000023baa-185.dat	upx
behavioral2/memory/3476-257-0x00007FF747A40000-0x00007FF747E32000-memory.dmp	upx
behavioral2/memory/1368-265-0x00007FF71CD80000-0x00007FF71D172000-memory.dmp	upx
behavioral2/memory/3644-288-0x00007FF603D60000-0x00007FF604152000-memory.dmp	upx
behavioral2/memory/1784-297-0x00007FF6994F0000-0x00007FF6998E2000-memory.dmp	upx
behavioral2/memory/1876-301-0x00007FF773B20000-0x00007FF773F12000-memory.dmp	upx
behavioral2/memory/848-1116-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp	upx
behavioral2/memory/3812-3212-0x00007FF79B4F0000-0x00007FF79B8E2000-memory.dmp	upx
behavioral2/memory/1096-3274-0x00007FF704720000-0x00007FF704B12000-memory.dmp	upx
behavioral2/memory/2300-3303-0x00007FF6B4C20000-0x00007FF6B5012000-memory.dmp	upx
behavioral2/memory/3644-3315-0x00007FF603D60000-0x00007FF604152000-memory.dmp	upx
behavioral2/memory/4460-3330-0x00007FF73B820000-0x00007FF73BC12000-memory.dmp	upx
behavioral2/memory/1784-3337-0x00007FF6994F0000-0x00007FF6998E2000-memory.dmp	upx
behavioral2/memory/848-3781-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp	upx
behavioral2/memory/2656-3326-0x00007FF7D29B0000-0x00007FF7D2DA2000-memory.dmp	upx
behavioral2/memory/1364-3306-0x00007FF79BBC0000-0x00007FF79BFB2000-memory.dmp	upx
behavioral2/memory/1972-3266-0x00007FF731EE0000-0x00007FF7322D2000-memory.dmp	upx
behavioral2/memory/1368-3262-0x00007FF71CD80000-0x00007FF71D172000-memory.dmp	upx
behavioral2/memory/3092-3254-0x00007FF648490000-0x00007FF648882000-memory.dmp	upx
behavioral2/memory/5028-3250-0x00007FF652D20000-0x00007FF653112000-memory.dmp	upx
behavioral2/memory/3688-3234-0x00007FF6EFC00000-0x00007FF6EFFF2000-memory.dmp	upx
behavioral2/memory/1876-3220-0x00007FF773B20000-0x00007FF773F12000-memory.dmp	upx
behavioral2/memory/4460-304-0x00007FF73B820000-0x00007FF73BC12000-memory.dmp	upx
behavioral2/memory/5028-303-0x00007FF652D20000-0x00007FF653112000-memory.dmp	upx
behavioral2/memory/3092-302-0x00007FF648490000-0x00007FF648882000-memory.dmp	upx
behavioral2/memory/3688-300-0x00007FF6EFC00000-0x00007FF6EFFF2000-memory.dmp	upx
behavioral2/memory/1096-298-0x00007FF704720000-0x00007FF704B12000-memory.dmp	upx
behavioral2/memory/1972-295-0x00007FF731EE0000-0x00007FF7322D2000-memory.dmp	upx
behavioral2/memory/2656-290-0x00007FF7D29B0000-0x00007FF7D2DA2000-memory.dmp	upx
behavioral2/memory/3484-287-0x00007FF61AD60000-0x00007FF61B152000-memory.dmp	upx
behavioral2/memory/3756-281-0x00007FF6F2430000-0x00007FF6F2822000-memory.dmp	upx
behavioral2/memory/1364-235-0x00007FF79BBC0000-0x00007FF79BFB2000-memory.dmp	upx
behavioral2/memory/2300-222-0x00007FF6B4C20000-0x00007FF6B5012000-memory.dmp	upx
behavioral2/memory/3812-209-0x00007FF79B4F0000-0x00007FF79B8E2000-memory.dmp	upx
behavioral2/files/0x000a000000023b9d-192.dat	upx
behavioral2/files/0x000e000000023bb1-190.dat	upx
behavioral2/files/0x000a000000023b9c-188.dat	upx
behavioral2/files/0x000b000000023ba2-182.dat	upx
behavioral2/memory/2264-181-0x00007FF785B60000-0x00007FF785F52000-memory.dmp	upx
behavioral2/files/0x000a000000023b99-175.dat	upx
behavioral2/files/0x000b000000023ba1-172.dat	upx
behavioral2/files/0x000b000000023ba0-171.dat	upx
behavioral2/files/0x000a000000023b9f-170.dat	upx
behavioral2/files/0x000a000000023b9e-167.dat	upx
behavioral2/memory/544-166-0x00007FF674E30000-0x00007FF675222000-memory.dmp	upx
behavioral2/files/0x000a000000023b97-158.dat	upx
behavioral2/files/0x000a000000023b93-156.dat	upx
behavioral2/files/0x000b000000023b91-141.dat	upx
behavioral2/memory/3940-138-0x00007FF7E6440000-0x00007FF7E6832000-memory.dmp	upx
behavioral2/files/0x000b000000023b81-136.dat	upx
behavioral2/files/0x000a000000023b9b-134.dat	upx
behavioral2/files/0x000a000000023b98-125.dat	upx
behavioral2/files/0x000a000000023b96-119.dat	upx
behavioral2/memory/2280-112-0x00007FF662DF0000-0x00007FF6631E2000-memory.dmp	upx
behavioral2/files/0x000a000000023b8b-103.dat	upx
behavioral2/files/0x000a000000023b8d-101.dat	upx

Drops file in Windows directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System\OarIGtt.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\aEhklov.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\wJLMUCz.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\hXSKccH.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\FpxnpOM.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\uamCWqR.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\BvYXUer.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\WoHEaIN.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\EcDBlRx.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\LCjBWDR.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\lDSatrj.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\oIWRmaW.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\HoncYIS.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\LFiShjY.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\EpiVEBp.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\DJWDAhT.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\jRQfqKo.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\UWSJmus.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\RDGrXSy.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\YnZbMVE.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\fTpMOcx.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\dJNiRjM.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\pvAZlju.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\uIMyXSd.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\pBoYwkd.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\VuCaLNo.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\WOVjdrX.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\ShwvVQI.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\EazOgoN.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\npMYjsm.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\JcguKFi.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\zjjrnzZ.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\LaAAXha.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\KuWqegx.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\FhEdqct.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\VwYSyMg.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\HgsoyNC.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\PCYpytt.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\zwMpwKA.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\QAjCfzV.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\ZCNZBhz.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\hEJRAZp.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\cCwltBR.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\emVJGLw.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\ipxvVar.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\oNxCfsg.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\VQCSwao.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\WvRuyEy.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\tGCNYjS.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\pPuljQc.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\IUIWtOY.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\ARxQIHL.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\KuowiEK.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\WzMcsWI.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\fQDAUuW.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\TmrAtPS.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\edpMzOj.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\zawqLMG.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\jJkFgMo.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\GTuAXdu.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\kfrVUAi.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\poIDwIX.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\pxbMhjM.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
File created	C:\Windows\System\vsapbOC.exe	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Checks processor information in registry 2 TTPs 3 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0	wermgr.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz	wermgr.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wermgr.exe

Enumerates system info in registry 2 TTPs 4 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\BIOS	wermgr.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	wermgr.exe

Modifies data under HKEY_USERS 25 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe

Suspicious behavior: EnumeratesProcesses 3 IoCs

pid	Process
4240	powershell.exe
4240	powershell.exe
4240	powershell.exe

Suspicious behavior: LoadsDriver 64 IoCs

pid	Process
1876	Process not Found
4316	Process not Found
4472	Process not Found
5036	Process not Found
2052	Process not Found
1972	Process not Found
4460	smss.exe
1784	Process not Found
1096	Process not Found
4376	Process not Found
4252	Process not Found
624	Process not Found
2316	Process not Found
1968	Process not Found
2596	Process not Found
4224	Process not Found
1164	Process not Found
1964	Process not Found
3744	Process not Found
2448	Process not Found
3004	Process not Found
872	Process not Found
2324	Process not Found
4568	Process not Found
4896	Process not Found
2032	Process not Found
3212	Process not Found
2452	Process not Found
3108	Process not Found
4800	Process not Found
4412	Process not Found
3404	smss.exe
1388	Process not Found
5040	Process not Found
2996	Process not Found
4432	Process not Found
2460	Process not Found
860	Process not Found
4392	Process not Found
4340	Process not Found
228	smss.exe
2724	Process not Found
1340	Process not Found
1908	Process not Found
924	Process not Found
1680	Process not Found
3996	Process not Found
4004	Process not Found
3840	Process not Found
5024	smss.exe
2196	Process not Found
1092	Process not Found
3504	smss.exe
5332	Process not Found
5260	Process not Found
5360	Process not Found
5356	Process not Found
5424	Process not Found
5436	Process not Found
5452	Process not Found
5552	Process not Found
5468	smss.exe
5504	Process not Found
5520	Process not Found

Suspicious use of AdjustPrivilegeToken 11 IoCs

description	pid	Process
Token: SeLockMemoryPrivilege	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
Token: SeLockMemoryPrivilege	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
Token: SeDebugPrivilege	4240	powershell.exe
Token: SeCreateGlobalPrivilege	13960	dwm.exe
Token: SeChangeNotifyPrivilege	13960	dwm.exe
Token: 33	13960	dwm.exe
Token: SeIncBasePriorityPrivilege	13960	dwm.exe
Token: SeCreateGlobalPrivilege	13740	dwm.exe
Token: SeChangeNotifyPrivilege	13740	dwm.exe
Token: 33	13740	dwm.exe
Token: SeIncBasePriorityPrivilege	13740	dwm.exe

Suspicious use of FindShellTrayWindow 1 IoCs

pid	Process
14048	sihost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 848 wrote to memory of 4240	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	2524
PID 848 wrote to memory of 4240	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	2524
PID 848 wrote to memory of 4416	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	85
PID 848 wrote to memory of 4416	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	85
PID 848 wrote to memory of 3928	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	969
PID 848 wrote to memory of 3928	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	969
PID 848 wrote to memory of 2280	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	87
PID 848 wrote to memory of 2280	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	87
PID 848 wrote to memory of 3528	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	88
PID 848 wrote to memory of 3528	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	88
PID 848 wrote to memory of 3940	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	89
PID 848 wrote to memory of 3940	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	89
PID 848 wrote to memory of 544	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	90
PID 848 wrote to memory of 544	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	90
PID 848 wrote to memory of 2264	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	91
PID 848 wrote to memory of 2264	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	91
PID 848 wrote to memory of 3812	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	92
PID 848 wrote to memory of 3812	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	92
PID 848 wrote to memory of 2300	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	93
PID 848 wrote to memory of 2300	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	93
PID 848 wrote to memory of 3688	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	94
PID 848 wrote to memory of 3688	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	94
PID 848 wrote to memory of 1364	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	95
PID 848 wrote to memory of 1364	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	95
PID 848 wrote to memory of 1876	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	96
PID 848 wrote to memory of 1876	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	96
PID 848 wrote to memory of 3476	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	97
PID 848 wrote to memory of 3476	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	97
PID 848 wrote to memory of 3092	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	98
PID 848 wrote to memory of 3092	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	98
PID 848 wrote to memory of 3644	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	99
PID 848 wrote to memory of 3644	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	99
PID 848 wrote to memory of 1368	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	100
PID 848 wrote to memory of 1368	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	100
PID 848 wrote to memory of 5028	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	101
PID 848 wrote to memory of 5028	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	101
PID 848 wrote to memory of 3756	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	102
PID 848 wrote to memory of 3756	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	102
PID 848 wrote to memory of 3484	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	103
PID 848 wrote to memory of 3484	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	103
PID 848 wrote to memory of 2656	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	104
PID 848 wrote to memory of 2656	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	104
PID 848 wrote to memory of 1972	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	105
PID 848 wrote to memory of 1972	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	105
PID 848 wrote to memory of 4460	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	976
PID 848 wrote to memory of 4460	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	976
PID 848 wrote to memory of 1784	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	107
PID 848 wrote to memory of 1784	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	107
PID 848 wrote to memory of 1096	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	108
PID 848 wrote to memory of 1096	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	108
PID 848 wrote to memory of 4252	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	109
PID 848 wrote to memory of 4252	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	109
PID 848 wrote to memory of 1504	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	110
PID 848 wrote to memory of 1504	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	110
PID 848 wrote to memory of 2064	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	111
PID 848 wrote to memory of 2064	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	111
PID 848 wrote to memory of 1968	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	112
PID 848 wrote to memory of 1968	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	112
PID 848 wrote to memory of 2596	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	113
PID 848 wrote to memory of 2596	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	113
PID 848 wrote to memory of 1164	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	114
PID 848 wrote to memory of 1164	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	114
PID 848 wrote to memory of 4224	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	115
PID 848 wrote to memory of 4224	848	0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe	115

C:\Windows\system32\fontdrvhost.exe
"fontdrvhost.exe"
1⤵
PID:772

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
PID:3952

C:\Windows\System32\Upfc.exe
C:\Windows\System32\Upfc.exe /launchtype periodic /cv xzzBL4v5F0uNwSOhIBFrUA.0
1⤵
PID:2720

C:\Users\Admin\AppData\Local\Temp\0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe
"C:\Users\Admin\AppData\Local\Temp\0e16ea7639ce4cc98b402a209817614f937f52df0e1cd403f4f30645cd8445f8N.exe"
1⤵
- Drops file in Windows directory
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:848
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  powershell.exe -command "Invoke-WebRequest "https://raw.githubusercontent.com/" "
  2⤵
  - Command and Scripting Interpreter: PowerShell
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  PID:4240
- - C:\Windows\system32\wermgr.exe
    "C:\Windows\system32\wermgr.exe" "-outproc" "0" "4240" "2876" "2744" "2880" "0" "0" "2884" "0" "0" "0" "0" "0"
    3⤵
    - Checks processor information in registry
    - Enumerates system info in registry
    PID:13740
- C:\Windows\System\peczqWG.exe
  C:\Windows\System\peczqWG.exe
  2⤵
  - Executes dropped EXE
  PID:4416
- C:\Windows\System\aXZrKZl.exe
  C:\Windows\System\aXZrKZl.exe
  2⤵
  - Executes dropped EXE
  PID:3928
- C:\Windows\System\HgKfAww.exe
  C:\Windows\System\HgKfAww.exe
  2⤵
  - Executes dropped EXE
  PID:2280
- C:\Windows\System\keniVuZ.exe
  C:\Windows\System\keniVuZ.exe
  2⤵
  - Executes dropped EXE
  PID:3528
- C:\Windows\System\ubMhNbh.exe
  C:\Windows\System\ubMhNbh.exe
  2⤵
  - Executes dropped EXE
  PID:3940
- C:\Windows\System\toXknZq.exe
  C:\Windows\System\toXknZq.exe
  2⤵
  - Executes dropped EXE
  PID:544
- C:\Windows\System\ooDSCob.exe
  C:\Windows\System\ooDSCob.exe
  2⤵
  - Executes dropped EXE
  PID:2264
- C:\Windows\System\TzSaIkJ.exe
  C:\Windows\System\TzSaIkJ.exe
  2⤵
  - Executes dropped EXE
  PID:3812
- C:\Windows\System\EmSbxMJ.exe
  C:\Windows\System\EmSbxMJ.exe
  2⤵
  - Executes dropped EXE
  PID:2300
- C:\Windows\System\qHtxwkS.exe
  C:\Windows\System\qHtxwkS.exe
  2⤵
  - Executes dropped EXE
  PID:3688
- C:\Windows\System\AbavsaB.exe
  C:\Windows\System\AbavsaB.exe
  2⤵
  - Executes dropped EXE
  PID:1364
- C:\Windows\System\eYjpApq.exe
  C:\Windows\System\eYjpApq.exe
  2⤵
  - Executes dropped EXE
  PID:1876
- C:\Windows\System\QNhmTeD.exe
  C:\Windows\System\QNhmTeD.exe
  2⤵
  - Executes dropped EXE
  PID:3476
- C:\Windows\System\MpXqFjr.exe
  C:\Windows\System\MpXqFjr.exe
  2⤵
  - Executes dropped EXE
  PID:3092
- C:\Windows\System\FoAtrhN.exe
  C:\Windows\System\FoAtrhN.exe
  2⤵
  - Executes dropped EXE
  PID:3644
- C:\Windows\System\QZgBAxA.exe
  C:\Windows\System\QZgBAxA.exe
  2⤵
  - Executes dropped EXE
  PID:1368
- C:\Windows\System\BmusUyc.exe
  C:\Windows\System\BmusUyc.exe
  2⤵
  - Executes dropped EXE
  PID:5028
- C:\Windows\System\iNFVjUJ.exe
  C:\Windows\System\iNFVjUJ.exe
  2⤵
  - Executes dropped EXE
  PID:3756
- C:\Windows\System\MxddoQC.exe
  C:\Windows\System\MxddoQC.exe
  2⤵
  - Executes dropped EXE
  PID:3484
- C:\Windows\System\VjLaSJy.exe
  C:\Windows\System\VjLaSJy.exe
  2⤵
  - Executes dropped EXE
  PID:2656
- C:\Windows\System\VYQOwBw.exe
  C:\Windows\System\VYQOwBw.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System\fAiNhDW.exe
  C:\Windows\System\fAiNhDW.exe
  2⤵
  - Executes dropped EXE
  PID:4460
- C:\Windows\System\KoZthgq.exe
  C:\Windows\System\KoZthgq.exe
  2⤵
  - Executes dropped EXE
  PID:1784
- C:\Windows\System\DPdermc.exe
  C:\Windows\System\DPdermc.exe
  2⤵
  - Executes dropped EXE
  PID:1096
- C:\Windows\System\NWhlHpl.exe
  C:\Windows\System\NWhlHpl.exe
  2⤵
  - Executes dropped EXE
  PID:4252
- C:\Windows\System\vGbjpMw.exe
  C:\Windows\System\vGbjpMw.exe
  2⤵
  - Executes dropped EXE
  PID:1504
- C:\Windows\System\REdujaf.exe
  C:\Windows\System\REdujaf.exe
  2⤵
  - Executes dropped EXE
  PID:2064
- C:\Windows\System\BTqTMPu.exe
  C:\Windows\System\BTqTMPu.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System\AEhLVfu.exe
  C:\Windows\System\AEhLVfu.exe
  2⤵
  - Executes dropped EXE
  PID:2596
- C:\Windows\System\eDFwrdj.exe
  C:\Windows\System\eDFwrdj.exe
  2⤵
  - Executes dropped EXE
  PID:1164
- C:\Windows\System\LvciZmw.exe
  C:\Windows\System\LvciZmw.exe
  2⤵
  - Executes dropped EXE
  PID:4224
- C:\Windows\System\BAbXyMH.exe
  C:\Windows\System\BAbXyMH.exe
  2⤵
  - Executes dropped EXE
  PID:1964
- C:\Windows\System\UxmcAja.exe
  C:\Windows\System\UxmcAja.exe
  2⤵
  - Executes dropped EXE
  PID:3744
- C:\Windows\System\SwhChVW.exe
  C:\Windows\System\SwhChVW.exe
  2⤵
  - Executes dropped EXE
  PID:4376
- C:\Windows\System\cvkDVoH.exe
  C:\Windows\System\cvkDVoH.exe
  2⤵
  - Executes dropped EXE
  PID:1484
- C:\Windows\System\DOIAhdu.exe
  C:\Windows\System\DOIAhdu.exe
  2⤵
  - Executes dropped EXE
  PID:2324
- C:\Windows\System\HWNyhlz.exe
  C:\Windows\System\HWNyhlz.exe
  2⤵
  - Executes dropped EXE
  PID:2448
- C:\Windows\System\TKIAJVF.exe
  C:\Windows\System\TKIAJVF.exe
  2⤵
  - Executes dropped EXE
  PID:872
- C:\Windows\System\Apmiaku.exe
  C:\Windows\System\Apmiaku.exe
  2⤵
  - Executes dropped EXE
  PID:4568
- C:\Windows\System\ccOwhZI.exe
  C:\Windows\System\ccOwhZI.exe
  2⤵
  - Executes dropped EXE
  PID:4896
- C:\Windows\System\nRewpoS.exe
  C:\Windows\System\nRewpoS.exe
  2⤵
  - Executes dropped EXE
  PID:2452
- C:\Windows\System\FrapCSx.exe
  C:\Windows\System\FrapCSx.exe
  2⤵
  - Executes dropped EXE
  PID:4800
- C:\Windows\System\TWqSsrf.exe
  C:\Windows\System\TWqSsrf.exe
  2⤵
  - Executes dropped EXE
  PID:4412
- C:\Windows\System\AHuCJEF.exe
  C:\Windows\System\AHuCJEF.exe
  2⤵
  - Executes dropped EXE
  PID:3108
- C:\Windows\System\dpCqLTW.exe
  C:\Windows\System\dpCqLTW.exe
  2⤵
  - Executes dropped EXE
  PID:2032
- C:\Windows\System\ZMEYJIa.exe
  C:\Windows\System\ZMEYJIa.exe
  2⤵
  - Executes dropped EXE
  PID:3212
- C:\Windows\System\rqODXaf.exe
  C:\Windows\System\rqODXaf.exe
  2⤵
  - Executes dropped EXE
  PID:3404
- C:\Windows\System\JTbzBuf.exe
  C:\Windows\System\JTbzBuf.exe
  2⤵
  - Executes dropped EXE
  PID:1388
- C:\Windows\System\TmrAtPS.exe
  C:\Windows\System\TmrAtPS.exe
  2⤵
  - Executes dropped EXE
  PID:4432
- C:\Windows\System\qSuOfVo.exe
  C:\Windows\System\qSuOfVo.exe
  2⤵
  - Executes dropped EXE
  PID:5040
- C:\Windows\System\XeOUjVH.exe
  C:\Windows\System\XeOUjVH.exe
  2⤵
  - Executes dropped EXE
  PID:2996
- C:\Windows\System\oADSvSK.exe
  C:\Windows\System\oADSvSK.exe
  2⤵
  - Executes dropped EXE
  PID:2460
- C:\Windows\System\daeqhOm.exe
  C:\Windows\System\daeqhOm.exe
  2⤵
  - Executes dropped EXE
  PID:860
- C:\Windows\System\HuBeOze.exe
  C:\Windows\System\HuBeOze.exe
  2⤵
  - Executes dropped EXE
  PID:4340
- C:\Windows\System\wIHPRvU.exe
  C:\Windows\System\wIHPRvU.exe
  2⤵
  - Executes dropped EXE
  PID:4452
- C:\Windows\System\QZLSlhc.exe
  C:\Windows\System\QZLSlhc.exe
  2⤵
  - Executes dropped EXE
  PID:228
- C:\Windows\System\aiRWtmX.exe
  C:\Windows\System\aiRWtmX.exe
  2⤵
  - Executes dropped EXE
  PID:2724
- C:\Windows\System\IEEKHIv.exe
  C:\Windows\System\IEEKHIv.exe
  2⤵
  - Executes dropped EXE
  PID:1340
- C:\Windows\System\HnBUSEB.exe
  C:\Windows\System\HnBUSEB.exe
  2⤵
  - Executes dropped EXE
  PID:1908
- C:\Windows\System\tjyzcDm.exe
  C:\Windows\System\tjyzcDm.exe
  2⤵
  - Executes dropped EXE
  PID:3996
- C:\Windows\System\oYfqrBq.exe
  C:\Windows\System\oYfqrBq.exe
  2⤵
  - Executes dropped EXE
  PID:3840
- C:\Windows\System\CRVybps.exe
  C:\Windows\System\CRVybps.exe
  2⤵
  - Executes dropped EXE
  PID:924
- C:\Windows\System\XKlEuUU.exe
  C:\Windows\System\XKlEuUU.exe
  2⤵
  - Executes dropped EXE
  PID:5024
- C:\Windows\System\pQWYHqO.exe
  C:\Windows\System\pQWYHqO.exe
  2⤵
  - Executes dropped EXE
  PID:2196
- C:\Windows\System\ybLlulH.exe
  C:\Windows\System\ybLlulH.exe
  2⤵
  PID:1680
- C:\Windows\System\qTaqrAP.exe
  C:\Windows\System\qTaqrAP.exe
  2⤵
  PID:4008
- C:\Windows\System\OcncZip.exe
  C:\Windows\System\OcncZip.exe
  2⤵
  PID:1092
- C:\Windows\System\dADXeft.exe
  C:\Windows\System\dADXeft.exe
  2⤵
  PID:3504
- C:\Windows\System\rgqICRr.exe
  C:\Windows\System\rgqICRr.exe
  2⤵
  PID:3720
- C:\Windows\System\iNyubPs.exe
  C:\Windows\System\iNyubPs.exe
  2⤵
  PID:3052
- C:\Windows\System\wrGzxRi.exe
  C:\Windows\System\wrGzxRi.exe
  2⤵
  PID:1792
- C:\Windows\System\piBZsgY.exe
  C:\Windows\System\piBZsgY.exe
  2⤵
  PID:3164
- C:\Windows\System\NXonDDd.exe
  C:\Windows\System\NXonDDd.exe
  2⤵
  PID:5048
- C:\Windows\System\ljswUcJ.exe
  C:\Windows\System\ljswUcJ.exe
  2⤵
  PID:4636
- C:\Windows\System\dJNiRjM.exe
  C:\Windows\System\dJNiRjM.exe
  2⤵
  PID:1360
- C:\Windows\System\knqKOkk.exe
  C:\Windows\System\knqKOkk.exe
  2⤵
  PID:4328
- C:\Windows\System\SXUNnSx.exe
  C:\Windows\System\SXUNnSx.exe
  2⤵
  PID:1548
- C:\Windows\System\AeJxDtW.exe
  C:\Windows\System\AeJxDtW.exe
  2⤵
  PID:4364
- C:\Windows\System\MNFNqQA.exe
  C:\Windows\System\MNFNqQA.exe
  2⤵
  PID:4988
- C:\Windows\System\vcPHeqG.exe
  C:\Windows\System\vcPHeqG.exe
  2⤵
  PID:1856
- C:\Windows\System\huwENEj.exe
  C:\Windows\System\huwENEj.exe
  2⤵
  PID:4916
- C:\Windows\System\oMvXnfD.exe
  C:\Windows\System\oMvXnfD.exe
  2⤵
  PID:4748
- C:\Windows\System\HjBzvkN.exe
  C:\Windows\System\HjBzvkN.exe
  2⤵
  PID:5136
- C:\Windows\System\ftAQCIy.exe
  C:\Windows\System\ftAQCIy.exe
  2⤵
  PID:5152
- C:\Windows\System\CQaWhPZ.exe
  C:\Windows\System\CQaWhPZ.exe
  2⤵
  PID:5168
- C:\Windows\System\KwxCiUt.exe
  C:\Windows\System\KwxCiUt.exe
  2⤵
  PID:5184
- C:\Windows\System\BLJUfFM.exe
  C:\Windows\System\BLJUfFM.exe
  2⤵
  PID:5220
- C:\Windows\System\vmNLTqP.exe
  C:\Windows\System\vmNLTqP.exe
  2⤵
  PID:5240
- C:\Windows\System\jffUcBI.exe
  C:\Windows\System\jffUcBI.exe
  2⤵
  PID:5256
- C:\Windows\System\lLpCjFl.exe
  C:\Windows\System\lLpCjFl.exe
  2⤵
  PID:5284
- C:\Windows\System\JiKItXb.exe
  C:\Windows\System\JiKItXb.exe
  2⤵
  PID:5308
- C:\Windows\System\IqKqBHD.exe
  C:\Windows\System\IqKqBHD.exe
  2⤵
  PID:5332
- C:\Windows\System\rdVEJzQ.exe
  C:\Windows\System\rdVEJzQ.exe
  2⤵
  PID:5356
- C:\Windows\System\zjjrnzZ.exe
  C:\Windows\System\zjjrnzZ.exe
  2⤵
  PID:5380
- C:\Windows\System\FrUkLhB.exe
  C:\Windows\System\FrUkLhB.exe
  2⤵
  PID:5404
- C:\Windows\System\ImamSTY.exe
  C:\Windows\System\ImamSTY.exe
  2⤵
  PID:5420
- C:\Windows\System\dayPhqB.exe
  C:\Windows\System\dayPhqB.exe
  2⤵
  PID:5436
- C:\Windows\System\woDxQyW.exe
  C:\Windows\System\woDxQyW.exe
  2⤵
  PID:5452
- C:\Windows\System\BgSjZYL.exe
  C:\Windows\System\BgSjZYL.exe
  2⤵
  PID:5468
- C:\Windows\System\lLZECvA.exe
  C:\Windows\System\lLZECvA.exe
  2⤵
  PID:5488
- C:\Windows\System\WKKGiny.exe
  C:\Windows\System\WKKGiny.exe
  2⤵
  PID:5504
- C:\Windows\System\DjUxmkE.exe
  C:\Windows\System\DjUxmkE.exe
  2⤵
  PID:5520
- C:\Windows\System\uWQjcrh.exe
  C:\Windows\System\uWQjcrh.exe
  2⤵
  PID:5536
- C:\Windows\System\AQeRMHO.exe
  C:\Windows\System\AQeRMHO.exe
  2⤵
  PID:5552
- C:\Windows\System\HUnYbFF.exe
  C:\Windows\System\HUnYbFF.exe
  2⤵
  PID:5568
- C:\Windows\System\vOduHWa.exe
  C:\Windows\System\vOduHWa.exe
  2⤵
  PID:5600
- C:\Windows\System\reImkMa.exe
  C:\Windows\System\reImkMa.exe
  2⤵
  PID:5652
- C:\Windows\System\IPceqOH.exe
  C:\Windows\System\IPceqOH.exe
  2⤵
  PID:5668
- C:\Windows\System\nTShBUn.exe
  C:\Windows\System\nTShBUn.exe
  2⤵
  PID:5728
- C:\Windows\System\fKBUicF.exe
  C:\Windows\System\fKBUicF.exe
  2⤵
  PID:5744
- C:\Windows\System\agMGUCU.exe
  C:\Windows\System\agMGUCU.exe
  2⤵
  PID:5768
- C:\Windows\System\KVRGPmO.exe
  C:\Windows\System\KVRGPmO.exe
  2⤵
  PID:5792
- C:\Windows\System\fFeOsdC.exe
  C:\Windows\System\fFeOsdC.exe
  2⤵
  PID:5816
- C:\Windows\System\ZyWUVSQ.exe
  C:\Windows\System\ZyWUVSQ.exe
  2⤵
  PID:5860
- C:\Windows\System\TUMVtrx.exe
  C:\Windows\System\TUMVtrx.exe
  2⤵
  PID:5892
- C:\Windows\System\Gahxzuo.exe
  C:\Windows\System\Gahxzuo.exe
  2⤵
  PID:5912
- C:\Windows\System\hYAgJnI.exe
  C:\Windows\System\hYAgJnI.exe
  2⤵
  PID:5936
- C:\Windows\System\yWFJhaj.exe
  C:\Windows\System\yWFJhaj.exe
  2⤵
  PID:5956
- C:\Windows\System\eFOvebm.exe
  C:\Windows\System\eFOvebm.exe
  2⤵
  PID:5980
- C:\Windows\System\ZJNGImu.exe
  C:\Windows\System\ZJNGImu.exe
  2⤵
  PID:6012
- C:\Windows\System\aoDtRcN.exe
  C:\Windows\System\aoDtRcN.exe
  2⤵
  PID:6028
- C:\Windows\System\NDqPwUp.exe
  C:\Windows\System\NDqPwUp.exe
  2⤵
  PID:6044
- C:\Windows\System\OMeEEuh.exe
  C:\Windows\System\OMeEEuh.exe
  2⤵
  PID:6060
- C:\Windows\System\ZccDgiO.exe
  C:\Windows\System\ZccDgiO.exe
  2⤵
  PID:6080
- C:\Windows\System\UKtmJCn.exe
  C:\Windows\System\UKtmJCn.exe
  2⤵
  PID:6104
- C:\Windows\System\kvCRSGh.exe
  C:\Windows\System\kvCRSGh.exe
  2⤵
  PID:2328
- C:\Windows\System\FCxhUEb.exe
  C:\Windows\System\FCxhUEb.exe
  2⤵
  PID:1436
- C:\Windows\System\aBhBUxl.exe
  C:\Windows\System\aBhBUxl.exe
  2⤵
  PID:3452
- C:\Windows\System\fTvXdJP.exe
  C:\Windows\System\fTvXdJP.exe
  2⤵
  PID:5428
- C:\Windows\System\pkNMMnx.exe
  C:\Windows\System\pkNMMnx.exe
  2⤵
  PID:1900
- C:\Windows\System\wmqcvQs.exe
  C:\Windows\System\wmqcvQs.exe
  2⤵
  PID:5160
- C:\Windows\System\DEQVcJY.exe
  C:\Windows\System\DEQVcJY.exe
  2⤵
  PID:5368
- C:\Windows\System\tGCNYjS.exe
  C:\Windows\System\tGCNYjS.exe
  2⤵
  PID:5248
- C:\Windows\System\iWbFhfA.exe
  C:\Windows\System\iWbFhfA.exe
  2⤵
  PID:5712
- C:\Windows\System\kifImrI.exe
  C:\Windows\System\kifImrI.exe
  2⤵
  PID:5648
- C:\Windows\System\RrGadfR.exe
  C:\Windows\System\RrGadfR.exe
  2⤵
  PID:5592
- C:\Windows\System\YbYrUQn.exe
  C:\Windows\System\YbYrUQn.exe
  2⤵
  PID:5544
- C:\Windows\System\ilfydcO.exe
  C:\Windows\System\ilfydcO.exe
  2⤵
  PID:6072
- C:\Windows\System\FtzneLM.exe
  C:\Windows\System\FtzneLM.exe
  2⤵
  PID:5460
- C:\Windows\System\SlfHmxR.exe
  C:\Windows\System\SlfHmxR.exe
  2⤵
  PID:6148
- C:\Windows\System\BSVqqRY.exe
  C:\Windows\System\BSVqqRY.exe
  2⤵
  PID:6180
- C:\Windows\System\hachWMM.exe
  C:\Windows\System\hachWMM.exe
  2⤵
  PID:6200
- C:\Windows\System\gmTqolP.exe
  C:\Windows\System\gmTqolP.exe
  2⤵
  PID:6232
- C:\Windows\System\XxNwIqC.exe
  C:\Windows\System\XxNwIqC.exe
  2⤵
  PID:6260
- C:\Windows\System\pxbMhjM.exe
  C:\Windows\System\pxbMhjM.exe
  2⤵
  PID:6280
- C:\Windows\System\YwpQYay.exe
  C:\Windows\System\YwpQYay.exe
  2⤵
  PID:6304
- C:\Windows\System\IeFbXwq.exe
  C:\Windows\System\IeFbXwq.exe
  2⤵
  PID:6328
- C:\Windows\System\WTWyTsN.exe
  C:\Windows\System\WTWyTsN.exe
  2⤵
  PID:6352
- C:\Windows\System\xhrsdvn.exe
  C:\Windows\System\xhrsdvn.exe
  2⤵
  PID:6376
- C:\Windows\System\VgdnazP.exe
  C:\Windows\System\VgdnazP.exe
  2⤵
  PID:6404
- C:\Windows\System\ZdeQjgx.exe
  C:\Windows\System\ZdeQjgx.exe
  2⤵
  PID:6428
- C:\Windows\System\sWRbACY.exe
  C:\Windows\System\sWRbACY.exe
  2⤵
  PID:6452
- C:\Windows\System\FzTTfiJ.exe
  C:\Windows\System\FzTTfiJ.exe
  2⤵
  PID:6496
- C:\Windows\System\gpvocmX.exe
  C:\Windows\System\gpvocmX.exe
  2⤵
  PID:6524
- C:\Windows\System\IOzFaAc.exe
  C:\Windows\System\IOzFaAc.exe
  2⤵
  PID:6548
- C:\Windows\System\WUWnsUz.exe
  C:\Windows\System\WUWnsUz.exe
  2⤵
  PID:6572
- C:\Windows\System\oEkIlKM.exe
  C:\Windows\System\oEkIlKM.exe
  2⤵
  PID:6596
- C:\Windows\System\TLqmNGV.exe
  C:\Windows\System\TLqmNGV.exe
  2⤵
  PID:6620
- C:\Windows\System\rLRnSBi.exe
  C:\Windows\System\rLRnSBi.exe
  2⤵
  PID:6640
- C:\Windows\System\tlABfev.exe
  C:\Windows\System\tlABfev.exe
  2⤵
  PID:6696
- C:\Windows\System\WujIUfa.exe
  C:\Windows\System\WujIUfa.exe
  2⤵
  PID:6748
- C:\Windows\System\HqsGHrI.exe
  C:\Windows\System\HqsGHrI.exe
  2⤵
  PID:6792
- C:\Windows\System\gOTeoYU.exe
  C:\Windows\System\gOTeoYU.exe
  2⤵
  PID:6808
- C:\Windows\System\jsPcKyB.exe
  C:\Windows\System\jsPcKyB.exe
  2⤵
  PID:6824
- C:\Windows\System\UkGkIRt.exe
  C:\Windows\System\UkGkIRt.exe
  2⤵
  PID:6840
- C:\Windows\System\DLBzhQa.exe
  C:\Windows\System\DLBzhQa.exe
  2⤵
  PID:6856
- C:\Windows\System\kbnFAAf.exe
  C:\Windows\System\kbnFAAf.exe
  2⤵
  PID:6876
- C:\Windows\System\BmNezZJ.exe
  C:\Windows\System\BmNezZJ.exe
  2⤵
  PID:6904
- C:\Windows\System\jWVEPtP.exe
  C:\Windows\System\jWVEPtP.exe
  2⤵
  PID:6924
- C:\Windows\System\fXGSvNT.exe
  C:\Windows\System\fXGSvNT.exe
  2⤵
  PID:6948
- C:\Windows\System\WVBBdMr.exe
  C:\Windows\System\WVBBdMr.exe
  2⤵
  PID:6968
- C:\Windows\System\VgHgppA.exe
  C:\Windows\System\VgHgppA.exe
  2⤵
  PID:6988
- C:\Windows\System\QIpJbtF.exe
  C:\Windows\System\QIpJbtF.exe
  2⤵
  PID:7016
- C:\Windows\System\uIHAQeW.exe
  C:\Windows\System\uIHAQeW.exe
  2⤵
  PID:7036
- C:\Windows\System\FgeRvcF.exe
  C:\Windows\System\FgeRvcF.exe
  2⤵
  PID:7060
- C:\Windows\System\JcygkBe.exe
  C:\Windows\System\JcygkBe.exe
  2⤵
  PID:7084
- C:\Windows\System\bUKZUCR.exe
  C:\Windows\System\bUKZUCR.exe
  2⤵
  PID:7108
- C:\Windows\System\GTKoIjm.exe
  C:\Windows\System\GTKoIjm.exe
  2⤵
  PID:7132
- C:\Windows\System\lsphmlI.exe
  C:\Windows\System\lsphmlI.exe
  2⤵
  PID:7160
- C:\Windows\System\NwYpmPR.exe
  C:\Windows\System\NwYpmPR.exe
  2⤵
  PID:6112
- C:\Windows\System\vUNQifD.exe
  C:\Windows\System\vUNQifD.exe
  2⤵
  PID:5736
- C:\Windows\System\hVyxBty.exe
  C:\Windows\System\hVyxBty.exe
  2⤵
  PID:5784
- C:\Windows\System\cxBMNga.exe
  C:\Windows\System\cxBMNga.exe
  2⤵
  PID:5480
- C:\Windows\System\EFFxfIZ.exe
  C:\Windows\System\EFFxfIZ.exe
  2⤵
  PID:5844
- C:\Windows\System\KyVZgAS.exe
  C:\Windows\System\KyVZgAS.exe
  2⤵
  PID:5920
- C:\Windows\System\EUDGuFH.exe
  C:\Windows\System\EUDGuFH.exe
  2⤵
  PID:5996
- C:\Windows\System\HjeCxDX.exe
  C:\Windows\System\HjeCxDX.exe
  2⤵
  PID:5548
- C:\Windows\System\aEfsaeu.exe
  C:\Windows\System\aEfsaeu.exe
  2⤵
  PID:4072
- C:\Windows\System\jWSCujK.exe
  C:\Windows\System\jWSCujK.exe
  2⤵
  PID:6168
- C:\Windows\System\nBcQPkV.exe
  C:\Windows\System\nBcQPkV.exe
  2⤵
  PID:6208
- C:\Windows\System\HunShch.exe
  C:\Windows\System\HunShch.exe
  2⤵
  PID:6268
- C:\Windows\System\CDPlhYY.exe
  C:\Windows\System\CDPlhYY.exe
  2⤵
  PID:6320
- C:\Windows\System\czYeRfO.exe
  C:\Windows\System\czYeRfO.exe
  2⤵
  PID:6340
- C:\Windows\System\SnsFplR.exe
  C:\Windows\System\SnsFplR.exe
  2⤵
  PID:6412
- C:\Windows\System\EBpypqX.exe
  C:\Windows\System\EBpypqX.exe
  2⤵
  PID:6444
- C:\Windows\System\wJLMUCz.exe
  C:\Windows\System\wJLMUCz.exe
  2⤵
  PID:6504
- C:\Windows\System\Obekewq.exe
  C:\Windows\System\Obekewq.exe
  2⤵
  PID:6556
- C:\Windows\System\SrFNZMU.exe
  C:\Windows\System\SrFNZMU.exe
  2⤵
  PID:6636
- C:\Windows\System\cotlmXt.exe
  C:\Windows\System\cotlmXt.exe
  2⤵
  PID:6756
- C:\Windows\System\DNbxdDm.exe
  C:\Windows\System\DNbxdDm.exe
  2⤵
  PID:6248
- C:\Windows\System\mnJjnSB.exe
  C:\Windows\System\mnJjnSB.exe
  2⤵
  PID:7196
- C:\Windows\System\uwEXqzQ.exe
  C:\Windows\System\uwEXqzQ.exe
  2⤵
  PID:7212
- C:\Windows\System\bykrDfl.exe
  C:\Windows\System\bykrDfl.exe
  2⤵
  PID:7228
- C:\Windows\System\RnkBEzq.exe
  C:\Windows\System\RnkBEzq.exe
  2⤵
  PID:7256
- C:\Windows\System\rgqGiwR.exe
  C:\Windows\System\rgqGiwR.exe
  2⤵
  PID:7272
- C:\Windows\System\hiROUgW.exe
  C:\Windows\System\hiROUgW.exe
  2⤵
  PID:7304
- C:\Windows\System\PiGLdjN.exe
  C:\Windows\System\PiGLdjN.exe
  2⤵
  PID:7332
- C:\Windows\System\BfZfhRP.exe
  C:\Windows\System\BfZfhRP.exe
  2⤵
  PID:7348
- C:\Windows\System\NXABaFF.exe
  C:\Windows\System\NXABaFF.exe
  2⤵
  PID:7392
- C:\Windows\System\LDpoxlv.exe
  C:\Windows\System\LDpoxlv.exe
  2⤵
  PID:7412
- C:\Windows\System\gObmDXI.exe
  C:\Windows\System\gObmDXI.exe
  2⤵
  PID:7436
- C:\Windows\System\QwekLqn.exe
  C:\Windows\System\QwekLqn.exe
  2⤵
  PID:7460
- C:\Windows\System\vfQiesX.exe
  C:\Windows\System\vfQiesX.exe
  2⤵
  PID:7484
- C:\Windows\System\pPuljQc.exe
  C:\Windows\System\pPuljQc.exe
  2⤵
  PID:7508
- C:\Windows\System\eUvRhsZ.exe
  C:\Windows\System\eUvRhsZ.exe
  2⤵
  PID:7528
- C:\Windows\System\wMDdgFJ.exe
  C:\Windows\System\wMDdgFJ.exe
  2⤵
  PID:7552
- C:\Windows\System\fDInkYO.exe
  C:\Windows\System\fDInkYO.exe
  2⤵
  PID:7576
- C:\Windows\System\CdfxSiO.exe
  C:\Windows\System\CdfxSiO.exe
  2⤵
  PID:7600
- C:\Windows\System\IQaloRj.exe
  C:\Windows\System\IQaloRj.exe
  2⤵
  PID:7624
- C:\Windows\System\xuEbVzz.exe
  C:\Windows\System\xuEbVzz.exe
  2⤵
  PID:7736
- C:\Windows\System\MBDzVEZ.exe
  C:\Windows\System\MBDzVEZ.exe
  2⤵
  PID:7764
- C:\Windows\System\kvXupUJ.exe
  C:\Windows\System\kvXupUJ.exe
  2⤵
  PID:7792
- C:\Windows\System\OKvDMqB.exe
  C:\Windows\System\OKvDMqB.exe
  2⤵
  PID:7812
- C:\Windows\System\gempsAf.exe
  C:\Windows\System\gempsAf.exe
  2⤵
  PID:7832
- C:\Windows\System\PVBpKZP.exe
  C:\Windows\System\PVBpKZP.exe
  2⤵
  PID:7860
- C:\Windows\System\FCRaezi.exe
  C:\Windows\System\FCRaezi.exe
  2⤵
  PID:7888
- C:\Windows\System\IWrUcHy.exe
  C:\Windows\System\IWrUcHy.exe
  2⤵
  PID:8072
- C:\Windows\System\AEpdrkl.exe
  C:\Windows\System\AEpdrkl.exe
  2⤵
  PID:8092
- C:\Windows\System\MjJtqSO.exe
  C:\Windows\System\MjJtqSO.exe
  2⤵
  PID:8116
- C:\Windows\System\vEMNieT.exe
  C:\Windows\System\vEMNieT.exe
  2⤵
  PID:8136
- C:\Windows\System\CTTaTDn.exe
  C:\Windows\System\CTTaTDn.exe
  2⤵
  PID:8176
- C:\Windows\System\gxPFtCF.exe
  C:\Windows\System\gxPFtCF.exe
  2⤵
  PID:6832
- C:\Windows\System\zwMpwKA.exe
  C:\Windows\System\zwMpwKA.exe
  2⤵
  PID:6872
- C:\Windows\System\ihIUEcx.exe
  C:\Windows\System\ihIUEcx.exe
  2⤵
  PID:6916
- C:\Windows\System\HdeSKPh.exe
  C:\Windows\System\HdeSKPh.exe
  2⤵
  PID:6980
- C:\Windows\System\tzyWfCQ.exe
  C:\Windows\System\tzyWfCQ.exe
  2⤵
  PID:7024
- C:\Windows\System\PiophRs.exe
  C:\Windows\System\PiophRs.exe
  2⤵
  PID:7068
- C:\Windows\System\cyeBxGj.exe
  C:\Windows\System\cyeBxGj.exe
  2⤵
  PID:7104
- C:\Windows\System\hZaFcng.exe
  C:\Windows\System\hZaFcng.exe
  2⤵
  PID:7144
- C:\Windows\System\LZXUPVM.exe
  C:\Windows\System\LZXUPVM.exe
  2⤵
  PID:6132
- C:\Windows\System\bTHYDcs.exe
  C:\Windows\System\bTHYDcs.exe
  2⤵
  PID:5824
- C:\Windows\System\SiovbHF.exe
  C:\Windows\System\SiovbHF.exe
  2⤵
  PID:5872
- C:\Windows\System\ppVbMyt.exe
  C:\Windows\System\ppVbMyt.exe
  2⤵
  PID:6532
- C:\Windows\System\wxQejVk.exe
  C:\Windows\System\wxQejVk.exe
  2⤵
  PID:5196
- C:\Windows\System\seNSrsX.exe
  C:\Windows\System\seNSrsX.exe
  2⤵
  PID:6156
- C:\Windows\System\IhPdAjl.exe
  C:\Windows\System\IhPdAjl.exe
  2⤵
  PID:7448
- C:\Windows\System\aJtNuXO.exe
  C:\Windows\System\aJtNuXO.exe
  2⤵
  PID:7480
- C:\Windows\System\BUdThJl.exe
  C:\Windows\System\BUdThJl.exe
  2⤵
  PID:6336
- C:\Windows\System\SEMxMKa.exe
  C:\Windows\System\SEMxMKa.exe
  2⤵
  PID:6296
- C:\Windows\System\xvjwcRH.exe
  C:\Windows\System\xvjwcRH.exe
  2⤵
  PID:7568
- C:\Windows\System\uvFzzry.exe
  C:\Windows\System\uvFzzry.exe
  2⤵
  PID:7612
- C:\Windows\System\SofNCbl.exe
  C:\Windows\System\SofNCbl.exe
  2⤵
  PID:6368
- C:\Windows\System\DoCsVLp.exe
  C:\Windows\System\DoCsVLp.exe
  2⤵
  PID:6460
- C:\Windows\System\OKDQCMB.exe
  C:\Windows\System\OKDQCMB.exe
  2⤵
  PID:7176
- C:\Windows\System\ilisXjC.exe
  C:\Windows\System\ilisXjC.exe
  2⤵
  PID:7244
- C:\Windows\System\sqQvqCR.exe
  C:\Windows\System\sqQvqCR.exe
  2⤵
  PID:7292
- C:\Windows\System\lmLxzOx.exe
  C:\Windows\System\lmLxzOx.exe
  2⤵
  PID:7324
- C:\Windows\System\BvylKkG.exe
  C:\Windows\System\BvylKkG.exe
  2⤵
  PID:7984
- C:\Windows\System\CinDOzk.exe
  C:\Windows\System\CinDOzk.exe
  2⤵
  PID:7420
- C:\Windows\System\exyvzEU.exe
  C:\Windows\System\exyvzEU.exe
  2⤵
  PID:7828
- C:\Windows\System\FtZuzdM.exe
  C:\Windows\System\FtZuzdM.exe
  2⤵
  PID:7536
- C:\Windows\System\TrcuHfS.exe
  C:\Windows\System\TrcuHfS.exe
  2⤵
  PID:8224
- C:\Windows\System\omXwssp.exe
  C:\Windows\System\omXwssp.exe
  2⤵
  PID:8400
- C:\Windows\System\EZjQuah.exe
  C:\Windows\System\EZjQuah.exe
  2⤵
  PID:8424
- C:\Windows\System\EvGcIOO.exe
  C:\Windows\System\EvGcIOO.exe
  2⤵
  PID:8456
- C:\Windows\System\TFBnjar.exe
  C:\Windows\System\TFBnjar.exe
  2⤵
  PID:8472
- C:\Windows\System\uhYRcqn.exe
  C:\Windows\System\uhYRcqn.exe
  2⤵
  PID:8488
- C:\Windows\System\PpabVjW.exe
  C:\Windows\System\PpabVjW.exe
  2⤵
  PID:8504
- C:\Windows\System\LqGNuyO.exe
  C:\Windows\System\LqGNuyO.exe
  2⤵
  PID:8520
- C:\Windows\System\GxmzADO.exe
  C:\Windows\System\GxmzADO.exe
  2⤵
  PID:8536
- C:\Windows\System\ejSdbDS.exe
  C:\Windows\System\ejSdbDS.exe
  2⤵
  PID:8552
- C:\Windows\System\WTNhsUR.exe
  C:\Windows\System\WTNhsUR.exe
  2⤵
  PID:8568
- C:\Windows\System\VqOKirh.exe
  C:\Windows\System\VqOKirh.exe
  2⤵
  PID:8616
- C:\Windows\System\bDNKXPA.exe
  C:\Windows\System\bDNKXPA.exe
  2⤵
  PID:8636
- C:\Windows\System\dlZzKqz.exe
  C:\Windows\System\dlZzKqz.exe
  2⤵
  PID:8664
- C:\Windows\System\TtDLpNN.exe
  C:\Windows\System\TtDLpNN.exe
  2⤵
  PID:8692
- C:\Windows\System\ScTiLAz.exe
  C:\Windows\System\ScTiLAz.exe
  2⤵
  PID:8724
- C:\Windows\System\UWZkfyN.exe
  C:\Windows\System\UWZkfyN.exe
  2⤵
  PID:8748
- C:\Windows\System\yuLvpCU.exe
  C:\Windows\System\yuLvpCU.exe
  2⤵
  PID:8808
- C:\Windows\System\OPValQU.exe
  C:\Windows\System\OPValQU.exe
  2⤵
  PID:8828
- C:\Windows\System\SaWXrsR.exe
  C:\Windows\System\SaWXrsR.exe
  2⤵
  PID:8852
- C:\Windows\System\yyaQQlm.exe
  C:\Windows\System\yyaQQlm.exe
  2⤵
  PID:8876
- C:\Windows\System\eXxzyJG.exe
  C:\Windows\System\eXxzyJG.exe
  2⤵
  PID:8900
- C:\Windows\System\jYitArR.exe
  C:\Windows\System\jYitArR.exe
  2⤵
  PID:8924
- C:\Windows\System\dLpZRGz.exe
  C:\Windows\System\dLpZRGz.exe
  2⤵
  PID:8952
- C:\Windows\System\daxyzGo.exe
  C:\Windows\System\daxyzGo.exe
  2⤵
  PID:8976
- C:\Windows\System\wpXfkis.exe
  C:\Windows\System\wpXfkis.exe
  2⤵
  PID:8996
- C:\Windows\System\lkrlZuZ.exe
  C:\Windows\System\lkrlZuZ.exe
  2⤵
  PID:9020
- C:\Windows\System\sUzDRSH.exe
  C:\Windows\System\sUzDRSH.exe
  2⤵
  PID:9044
- C:\Windows\System\pvAZlju.exe
  C:\Windows\System\pvAZlju.exe
  2⤵
  PID:9068
- C:\Windows\System\XUTUsih.exe
  C:\Windows\System\XUTUsih.exe
  2⤵
  PID:9092
- C:\Windows\System\eMOyDaA.exe
  C:\Windows\System\eMOyDaA.exe
  2⤵
  PID:9124
- C:\Windows\System\uEAQHvI.exe
  C:\Windows\System\uEAQHvI.exe
  2⤵
  PID:9152
- C:\Windows\System\cYzIdGf.exe
  C:\Windows\System\cYzIdGf.exe
  2⤵
  PID:9172
- C:\Windows\System\gXNBoHH.exe
  C:\Windows\System\gXNBoHH.exe
  2⤵
  PID:9196
- C:\Windows\System\aFZiMji.exe
  C:\Windows\System\aFZiMji.exe
  2⤵
  PID:7620
- C:\Windows\System\IJcuUxZ.exe
  C:\Windows\System\IJcuUxZ.exe
  2⤵
  PID:1420
- C:\Windows\System\OEwlZfJ.exe
  C:\Windows\System\OEwlZfJ.exe
  2⤵
  PID:7696
- C:\Windows\System\eqxKTTj.exe
  C:\Windows\System\eqxKTTj.exe
  2⤵
  PID:7220
- C:\Windows\System\qDTMWJr.exe
  C:\Windows\System\qDTMWJr.exe
  2⤵
  PID:7772
- C:\Windows\System\UCFHrhA.exe
  C:\Windows\System\UCFHrhA.exe
  2⤵
  PID:7800
- C:\Windows\System\jnqDcHX.exe
  C:\Windows\System\jnqDcHX.exe
  2⤵
  PID:7872
- C:\Windows\System\AYOlUXH.exe
  C:\Windows\System\AYOlUXH.exe
  2⤵
  PID:8184
- C:\Windows\System\CoCPVMy.exe
  C:\Windows\System\CoCPVMy.exe
  2⤵
  PID:7940
- C:\Windows\System\XdBAAHK.exe
  C:\Windows\System\XdBAAHK.exe
  2⤵
  PID:7972
- C:\Windows\System\jjBgjvt.exe
  C:\Windows\System\jjBgjvt.exe
  2⤵
  PID:8008
- C:\Windows\System\AkEEefT.exe
  C:\Windows\System\AkEEefT.exe
  2⤵
  PID:1412
- C:\Windows\System\rhqIWdn.exe
  C:\Windows\System\rhqIWdn.exe
  2⤵
  PID:5948
- C:\Windows\System\ChYXHDM.exe
  C:\Windows\System\ChYXHDM.exe
  2⤵
  PID:7004
- C:\Windows\System\kkyKhGX.exe
  C:\Windows\System\kkyKhGX.exe
  2⤵
  PID:7052
- C:\Windows\System\kFvDNkI.exe
  C:\Windows\System\kFvDNkI.exe
  2⤵
  PID:5724
- C:\Windows\System\UkInEGL.exe
  C:\Windows\System\UkInEGL.exe
  2⤵
  PID:3000
- C:\Windows\System\KpdJyVJ.exe
  C:\Windows\System\KpdJyVJ.exe
  2⤵
  PID:6196
- C:\Windows\System\MjmYyYk.exe
  C:\Windows\System\MjmYyYk.exe
  2⤵
  PID:6312
- C:\Windows\System\IGDuprW.exe
  C:\Windows\System\IGDuprW.exe
  2⤵
  PID:6360
- C:\Windows\System\XXtDQun.exe
  C:\Windows\System\XXtDQun.exe
  2⤵
  PID:6628
- C:\Windows\System\lPetnPe.exe
  C:\Windows\System\lPetnPe.exe
  2⤵
  PID:7492
- C:\Windows\System\EfvhUiY.exe
  C:\Windows\System\EfvhUiY.exe
  2⤵
  PID:7252
- C:\Windows\System\Qkqzcrb.exe
  C:\Windows\System\Qkqzcrb.exe
  2⤵
  PID:7408
- C:\Windows\System\wbdobsz.exe
  C:\Windows\System\wbdobsz.exe
  2⤵
  PID:8132
- C:\Windows\System\qVGdEXS.exe
  C:\Windows\System\qVGdEXS.exe
  2⤵
  PID:8700
- C:\Windows\System\qRzvfBt.exe
  C:\Windows\System\qRzvfBt.exe
  2⤵
  PID:8440
- C:\Windows\System\egsDAIm.exe
  C:\Windows\System\egsDAIm.exe
  2⤵
  PID:8276
- C:\Windows\System\QAjCfzV.exe
  C:\Windows\System\QAjCfzV.exe
  2⤵
  PID:8968
- C:\Windows\System\GUTTBuC.exe
  C:\Windows\System\GUTTBuC.exe
  2⤵
  PID:9108
- C:\Windows\System\vTgngDo.exe
  C:\Windows\System\vTgngDo.exe
  2⤵
  PID:8624
- C:\Windows\System\FgjPILN.exe
  C:\Windows\System\FgjPILN.exe
  2⤵
  PID:8416
- C:\Windows\System\HmikTEs.exe
  C:\Windows\System\HmikTEs.exe
  2⤵
  PID:7728
- C:\Windows\System\yapyHTu.exe
  C:\Windows\System\yapyHTu.exe
  2⤵
  PID:8236
- C:\Windows\System\zLJVQEP.exe
  C:\Windows\System\zLJVQEP.exe
  2⤵
  PID:7980
- C:\Windows\System\EFDOVJa.exe
  C:\Windows\System\EFDOVJa.exe
  2⤵
  PID:8144
- C:\Windows\System\uGWqEwF.exe
  C:\Windows\System\uGWqEwF.exe
  2⤵
  PID:7032
- C:\Windows\System\ZLpjHYt.exe
  C:\Windows\System\ZLpjHYt.exe
  2⤵
  PID:6564
- C:\Windows\System\bQZtRLW.exe
  C:\Windows\System\bQZtRLW.exe
  2⤵
  PID:6732
- C:\Windows\System\aKPcfcS.exe
  C:\Windows\System\aKPcfcS.exe
  2⤵
  PID:7316
- C:\Windows\System\MEslKzE.exe
  C:\Windows\System\MEslKzE.exe
  2⤵
  PID:1724
- C:\Windows\System\BgYNwUV.exe
  C:\Windows\System\BgYNwUV.exe
  2⤵
  PID:4548
- C:\Windows\System\qgcTAsD.exe
  C:\Windows\System\qgcTAsD.exe
  2⤵
  PID:9136
- C:\Windows\System\FRyUaBT.exe
  C:\Windows\System\FRyUaBT.exe
  2⤵
  PID:7988
- C:\Windows\System\uShjiiZ.exe
  C:\Windows\System\uShjiiZ.exe
  2⤵
  PID:8564
- C:\Windows\System\fKWUADx.exe
  C:\Windows\System\fKWUADx.exe
  2⤵
  PID:64
- C:\Windows\System\kpQjlOQ.exe
  C:\Windows\System\kpQjlOQ.exe
  2⤵
  PID:3664
- C:\Windows\System\eXflblq.exe
  C:\Windows\System\eXflblq.exe
  2⤵
  PID:3320
- C:\Windows\System\XUhaeWM.exe
  C:\Windows\System\XUhaeWM.exe
  2⤵
  PID:5080
- C:\Windows\System\MNVYxSc.exe
  C:\Windows\System\MNVYxSc.exe
  2⤵
  PID:4356
- C:\Windows\System\dVRqGJv.exe
  C:\Windows\System\dVRqGJv.exe
  2⤵
  PID:4020
- C:\Windows\System\HorQtNr.exe
  C:\Windows\System\HorQtNr.exe
  2⤵
  PID:3152
- C:\Windows\System\OhWLJpv.exe
  C:\Windows\System\OhWLJpv.exe
  2⤵
  PID:1048
- C:\Windows\System\RzNxlEm.exe
  C:\Windows\System\RzNxlEm.exe
  2⤵
  PID:3672
- C:\Windows\System\RpHvUfT.exe
  C:\Windows\System\RpHvUfT.exe
  2⤵
  PID:1692
- C:\Windows\System\PsvYpXG.exe
  C:\Windows\System\PsvYpXG.exe
  2⤵
  PID:3912
- C:\Windows\System\AgivLgb.exe
  C:\Windows\System\AgivLgb.exe
  2⤵
  PID:9220
- C:\Windows\System\FvYVfcK.exe
  C:\Windows\System\FvYVfcK.exe
  2⤵
  PID:9244
- C:\Windows\System\MWPipDb.exe
  C:\Windows\System\MWPipDb.exe
  2⤵
  PID:9268
- C:\Windows\System\EjFXUpK.exe
  C:\Windows\System\EjFXUpK.exe
  2⤵
  PID:9292
- C:\Windows\System\YrvssPb.exe
  C:\Windows\System\YrvssPb.exe
  2⤵
  PID:9312
- C:\Windows\System\WOVjdrX.exe
  C:\Windows\System\WOVjdrX.exe
  2⤵
  PID:9328
- C:\Windows\System\MnEjLLy.exe
  C:\Windows\System\MnEjLLy.exe
  2⤵
  PID:9344
- C:\Windows\System\iufEfpq.exe
  C:\Windows\System\iufEfpq.exe
  2⤵
  PID:9364
- C:\Windows\System\aIZanjo.exe
  C:\Windows\System\aIZanjo.exe
  2⤵
  PID:9384
- C:\Windows\System\YemQCBh.exe
  C:\Windows\System\YemQCBh.exe
  2⤵
  PID:9408
- C:\Windows\System\VGzMWhZ.exe
  C:\Windows\System\VGzMWhZ.exe
  2⤵
  PID:9428
- C:\Windows\System\TuMkQdz.exe
  C:\Windows\System\TuMkQdz.exe
  2⤵
  PID:9456
- C:\Windows\System\LqhQQBu.exe
  C:\Windows\System\LqhQQBu.exe
  2⤵
  PID:9480
- C:\Windows\System\jfCgtFy.exe
  C:\Windows\System\jfCgtFy.exe
  2⤵
  PID:9500
- C:\Windows\System\yEfhpKi.exe
  C:\Windows\System\yEfhpKi.exe
  2⤵
  PID:9528
- C:\Windows\System\IUIWtOY.exe
  C:\Windows\System\IUIWtOY.exe
  2⤵
  PID:9560
- C:\Windows\System\AkZBvmi.exe
  C:\Windows\System\AkZBvmi.exe
  2⤵
  PID:9588
- C:\Windows\System\LaAAXha.exe
  C:\Windows\System\LaAAXha.exe
  2⤵
  PID:9612
- C:\Windows\System\zZahmPu.exe
  C:\Windows\System\zZahmPu.exe
  2⤵
  PID:9636
- C:\Windows\System\kVCfYEZ.exe
  C:\Windows\System\kVCfYEZ.exe
  2⤵
  PID:9668
- C:\Windows\System\WisiDLB.exe
  C:\Windows\System\WisiDLB.exe
  2⤵
  PID:9684
- C:\Windows\System\riarEvW.exe
  C:\Windows\System\riarEvW.exe
  2⤵
  PID:9700
- C:\Windows\System\IKGTwfY.exe
  C:\Windows\System\IKGTwfY.exe
  2⤵
  PID:9720
- C:\Windows\System\vsapbOC.exe
  C:\Windows\System\vsapbOC.exe
  2⤵
  PID:9856
- C:\Windows\System\hmbWvuZ.exe
  C:\Windows\System\hmbWvuZ.exe
  2⤵
  PID:9880
- C:\Windows\System\beDrnpr.exe
  C:\Windows\System\beDrnpr.exe
  2⤵
  PID:9900
- C:\Windows\System\BlULYrm.exe
  C:\Windows\System\BlULYrm.exe
  2⤵
  PID:9920
- C:\Windows\System\rhZgQzz.exe
  C:\Windows\System\rhZgQzz.exe
  2⤵
  PID:9940
- C:\Windows\System\wSbpAXJ.exe
  C:\Windows\System\wSbpAXJ.exe
  2⤵
  PID:9964
- C:\Windows\System\qTgAJjL.exe
  C:\Windows\System\qTgAJjL.exe
  2⤵
  PID:9984
- C:\Windows\System\foRafZS.exe
  C:\Windows\System\foRafZS.exe
  2⤵
  PID:10004
- C:\Windows\System\jazmbBO.exe
  C:\Windows\System\jazmbBO.exe
  2⤵
  PID:10020
- C:\Windows\System\PuoXMad.exe
  C:\Windows\System\PuoXMad.exe
  2⤵
  PID:10040
- C:\Windows\System\fsnKuSu.exe
  C:\Windows\System\fsnKuSu.exe
  2⤵
  PID:10060
- C:\Windows\System\JNkchTA.exe
  C:\Windows\System\JNkchTA.exe
  2⤵
  PID:10084
- C:\Windows\System\gcgtmAN.exe
  C:\Windows\System\gcgtmAN.exe
  2⤵
  PID:10104
- C:\Windows\System\SAdWyZd.exe
  C:\Windows\System\SAdWyZd.exe
  2⤵
  PID:10124
- C:\Windows\System\VZIXHiq.exe
  C:\Windows\System\VZIXHiq.exe
  2⤵
  PID:10152
- C:\Windows\System\MiqUWCp.exe
  C:\Windows\System\MiqUWCp.exe
  2⤵
  PID:10180
- C:\Windows\System\VxkWZwX.exe
  C:\Windows\System\VxkWZwX.exe
  2⤵
  PID:10204
- C:\Windows\System\rCocIXl.exe
  C:\Windows\System\rCocIXl.exe
  2⤵
  PID:10228
- C:\Windows\System\NZFxkKh.exe
  C:\Windows\System\NZFxkKh.exe
  2⤵
  PID:5068
- C:\Windows\System\ZgzaJSk.exe
  C:\Windows\System\ZgzaJSk.exe
  2⤵
  PID:1704
- C:\Windows\System\FcBGuEz.exe
  C:\Windows\System\FcBGuEz.exe
  2⤵
  PID:8040
- C:\Windows\System\hXSKccH.exe
  C:\Windows\System\hXSKccH.exe
  2⤵
  PID:224
- C:\Windows\System\pJDDrtl.exe
  C:\Windows\System\pJDDrtl.exe
  2⤵
  PID:8316
- C:\Windows\System\UTkDNpE.exe
  C:\Windows\System\UTkDNpE.exe
  2⤵
  PID:3592
- C:\Windows\System\Welvqjp.exe
  C:\Windows\System\Welvqjp.exe
  2⤵
  PID:8988
- C:\Windows\System\NEDEQCs.exe
  C:\Windows\System\NEDEQCs.exe
  2⤵
  PID:8596
- C:\Windows\System\RdwTxaf.exe
  C:\Windows\System\RdwTxaf.exe
  2⤵
  PID:2332
- C:\Windows\System\nvCCJay.exe
  C:\Windows\System\nvCCJay.exe
  2⤵
  PID:2608
- C:\Windows\System\KuWqegx.exe
  C:\Windows\System\KuWqegx.exe
  2⤵
  PID:4052
- C:\Windows\System\hGoTslx.exe
  C:\Windows\System\hGoTslx.exe
  2⤵
  PID:9496
- C:\Windows\System\zxEpRCI.exe
  C:\Windows\System\zxEpRCI.exe
  2⤵
  PID:4220
- C:\Windows\System\brJPtcH.exe
  C:\Windows\System\brJPtcH.exe
  2⤵
  PID:9300
- C:\Windows\System\fQcDwyM.exe
  C:\Windows\System\fQcDwyM.exe
  2⤵
  PID:9992
- C:\Windows\System\NelordZ.exe
  C:\Windows\System\NelordZ.exe
  2⤵
  PID:10068
- C:\Windows\System\XwWqBGa.exe
  C:\Windows\System\XwWqBGa.exe
  2⤵
  PID:10148
- C:\Windows\System\NSHCwsy.exe
  C:\Windows\System\NSHCwsy.exe
  2⤵
  PID:9444
- C:\Windows\System\yygjbJY.exe
  C:\Windows\System\yygjbJY.exe
  2⤵
  PID:9580
- C:\Windows\System\diXCwFk.exe
  C:\Windows\System\diXCwFk.exe
  2⤵
  PID:9680
- C:\Windows\System\OEZwSCa.exe
  C:\Windows\System\OEZwSCa.exe
  2⤵
  PID:10196
- C:\Windows\System\eULdmlA.exe
  C:\Windows\System\eULdmlA.exe
  2⤵
  PID:3944
- C:\Windows\System\ZCNZBhz.exe
  C:\Windows\System\ZCNZBhz.exe
  2⤵
  PID:9768
- C:\Windows\System\pJVEMti.exe
  C:\Windows\System\pJVEMti.exe
  2⤵
  PID:9888
- C:\Windows\System\HuFoqTo.exe
  C:\Windows\System\HuFoqTo.exe
  2⤵
  PID:9908
- C:\Windows\System\svJqouF.exe
  C:\Windows\System\svJqouF.exe
  2⤵
  PID:10252
- C:\Windows\System\YYPlQbM.exe
  C:\Windows\System\YYPlQbM.exe
  2⤵
  PID:10276
- C:\Windows\System\CqZqIFk.exe
  C:\Windows\System\CqZqIFk.exe
  2⤵
  PID:10300
- C:\Windows\System\IGuLgHX.exe
  C:\Windows\System\IGuLgHX.exe
  2⤵
  PID:10324
- C:\Windows\System\deWfqCB.exe
  C:\Windows\System\deWfqCB.exe
  2⤵
  PID:10348
- C:\Windows\System\xtzggsc.exe
  C:\Windows\System\xtzggsc.exe
  2⤵
  PID:10372
- C:\Windows\System\YANRWjf.exe
  C:\Windows\System\YANRWjf.exe
  2⤵
  PID:10424
- C:\Windows\System\JngHrnT.exe
  C:\Windows\System\JngHrnT.exe
  2⤵
  PID:10448
- C:\Windows\System\uZOSLrf.exe
  C:\Windows\System\uZOSLrf.exe
  2⤵
  PID:10468
- C:\Windows\System\mDKBCkE.exe
  C:\Windows\System\mDKBCkE.exe
  2⤵
  PID:10484
- C:\Windows\System\ARxQIHL.exe
  C:\Windows\System\ARxQIHL.exe
  2⤵
  PID:10500
- C:\Windows\System\MyNjMgM.exe
  C:\Windows\System\MyNjMgM.exe
  2⤵
  PID:10520
- C:\Windows\System\NgBMIqU.exe
  C:\Windows\System\NgBMIqU.exe
  2⤵
  PID:10552
- C:\Windows\System\gDTUBqF.exe
  C:\Windows\System\gDTUBqF.exe
  2⤵
  PID:10576
- C:\Windows\System\kmCatpe.exe
  C:\Windows\System\kmCatpe.exe
  2⤵
  PID:10600
- C:\Windows\System\scNtUsy.exe
  C:\Windows\System\scNtUsy.exe
  2⤵
  PID:10624
- C:\Windows\System\FpxnpOM.exe
  C:\Windows\System\FpxnpOM.exe
  2⤵
  PID:10648
- C:\Windows\System\nMExSUp.exe
  C:\Windows\System\nMExSUp.exe
  2⤵
  PID:10672
- C:\Windows\System\FigsnnD.exe
  C:\Windows\System\FigsnnD.exe
  2⤵
  PID:10696
- C:\Windows\System\JsLOqOZ.exe
  C:\Windows\System\JsLOqOZ.exe
  2⤵
  PID:10732
- C:\Windows\System\zgTydRN.exe
  C:\Windows\System\zgTydRN.exe
  2⤵
  PID:10764
- C:\Windows\System\xfKoSWr.exe
  C:\Windows\System\xfKoSWr.exe
  2⤵
  PID:10788
- C:\Windows\System\Vhsbfud.exe
  C:\Windows\System\Vhsbfud.exe
  2⤵
  PID:10812
- C:\Windows\System\UvGFSYp.exe
  C:\Windows\System\UvGFSYp.exe
  2⤵
  PID:10832
- C:\Windows\System\IYZNmGF.exe
  C:\Windows\System\IYZNmGF.exe
  2⤵
  PID:10860
- C:\Windows\System\BrBNmWa.exe
  C:\Windows\System\BrBNmWa.exe
  2⤵
  PID:10888
- C:\Windows\System\tFvImBh.exe
  C:\Windows\System\tFvImBh.exe
  2⤵
  PID:10924
- C:\Windows\System\hmyePme.exe
  C:\Windows\System\hmyePme.exe
  2⤵
  PID:10948
- C:\Windows\System\mMLEVaW.exe
  C:\Windows\System\mMLEVaW.exe
  2⤵
  PID:10972
- C:\Windows\System\SsxqkYt.exe
  C:\Windows\System\SsxqkYt.exe
  2⤵
  PID:10996
- C:\Windows\System\LCjBWDR.exe
  C:\Windows\System\LCjBWDR.exe
  2⤵
  PID:11020
- C:\Windows\System\gexfbyq.exe
  C:\Windows\System\gexfbyq.exe
  2⤵
  PID:11044
- C:\Windows\System\fSDHKoA.exe
  C:\Windows\System\fSDHKoA.exe
  2⤵
  PID:11072
- C:\Windows\System\cGXmkkZ.exe
  C:\Windows\System\cGXmkkZ.exe
  2⤵
  PID:11092
- C:\Windows\System\tWUPTXc.exe
  C:\Windows\System\tWUPTXc.exe
  2⤵
  PID:11116
- C:\Windows\System\OQAFiGq.exe
  C:\Windows\System\OQAFiGq.exe
  2⤵
  PID:11140
- C:\Windows\System\hhYzjdB.exe
  C:\Windows\System\hhYzjdB.exe
  2⤵
  PID:11172
- C:\Windows\System\uamCWqR.exe
  C:\Windows\System\uamCWqR.exe
  2⤵
  PID:11196
- C:\Windows\System\qiNepJv.exe
  C:\Windows\System\qiNepJv.exe
  2⤵
  PID:11224
- C:\Windows\System\cfiwfzH.exe
  C:\Windows\System\cfiwfzH.exe
  2⤵
  PID:11244
- C:\Windows\System\RpCNKsX.exe
  C:\Windows\System\RpCNKsX.exe
  2⤵
  PID:9708
- C:\Windows\System\DbClzGE.exe
  C:\Windows\System\DbClzGE.exe
  2⤵
  PID:9676
- C:\Windows\System\kUcuTQA.exe
  C:\Windows\System\kUcuTQA.exe
  2⤵
  PID:10224
- C:\Windows\System\HtcpfWC.exe
  C:\Windows\System\HtcpfWC.exe
  2⤵
  PID:1332
- C:\Windows\System\NVlDPQi.exe
  C:\Windows\System\NVlDPQi.exe
  2⤵
  PID:9548
- C:\Windows\System\ixJvqsM.exe
  C:\Windows\System\ixJvqsM.exe
  2⤵
  PID:9644
- C:\Windows\System\gEkSTQl.exe
  C:\Windows\System\gEkSTQl.exe
  2⤵
  PID:10308
- C:\Windows\System\aCxHvWQ.exe
  C:\Windows\System\aCxHvWQ.exe
  2⤵
  PID:7224
- C:\Windows\System\yILszDX.exe
  C:\Windows\System\yILszDX.exe
  2⤵
  PID:8948
- C:\Windows\System\edpMzOj.exe
  C:\Windows\System\edpMzOj.exe
  2⤵
  PID:9372
- C:\Windows\System\hywxohL.exe
  C:\Windows\System\hywxohL.exe
  2⤵
  PID:4312
- C:\Windows\System\pSdRONA.exe
  C:\Windows\System\pSdRONA.exe
  2⤵
  PID:3104
- C:\Windows\System\HJavXnN.exe
  C:\Windows\System\HJavXnN.exe
  2⤵
  PID:9264
- C:\Windows\System\jNyLXlU.exe
  C:\Windows\System\jNyLXlU.exe
  2⤵
  PID:10440
- C:\Windows\System\FPIpRCz.exe
  C:\Windows\System\FPIpRCz.exe
  2⤵
  PID:10516
- C:\Windows\System\OSLoaXT.exe
  C:\Windows\System\OSLoaXT.exe
  2⤵
  PID:10572
- C:\Windows\System\HkTZvSm.exe
  C:\Windows\System\HkTZvSm.exe
  2⤵
  PID:10656
- C:\Windows\System\SagZZov.exe
  C:\Windows\System\SagZZov.exe
  2⤵
  PID:10092
- C:\Windows\System\IbhVSic.exe
  C:\Windows\System\IbhVSic.exe
  2⤵
  PID:10760
- C:\Windows\System\iQUpWTb.exe
  C:\Windows\System\iQUpWTb.exe
  2⤵
  PID:10800
- C:\Windows\System\XuQDbcR.exe
  C:\Windows\System\XuQDbcR.exe
  2⤵
  PID:10264
- C:\Windows\System\EEUIMVb.exe
  C:\Windows\System\EEUIMVb.exe
  2⤵
  PID:10356
- C:\Windows\System\xsPrGiX.exe
  C:\Windows\System\xsPrGiX.exe
  2⤵
  PID:9472
- C:\Windows\System\wQfvoAB.exe
  C:\Windows\System\wQfvoAB.exe
  2⤵
  PID:10988
- C:\Windows\System\etqlUtU.exe
  C:\Windows\System\etqlUtU.exe
  2⤵
  PID:10528
- C:\Windows\System\VjUtwpW.exe
  C:\Windows\System\VjUtwpW.exe
  2⤵
  PID:11268
- C:\Windows\System\FhEdqct.exe
  C:\Windows\System\FhEdqct.exe
  2⤵
  PID:11292
- C:\Windows\System\AoFbazo.exe
  C:\Windows\System\AoFbazo.exe
  2⤵
  PID:11312
- C:\Windows\System\eJloAfX.exe
  C:\Windows\System\eJloAfX.exe
  2⤵
  PID:11332
- C:\Windows\System\PTbZHlm.exe
  C:\Windows\System\PTbZHlm.exe
  2⤵
  PID:11356
- C:\Windows\System\YRHjinE.exe
  C:\Windows\System\YRHjinE.exe
  2⤵
  PID:11380
- C:\Windows\System\yzgDpqJ.exe
  C:\Windows\System\yzgDpqJ.exe
  2⤵
  PID:11404
- C:\Windows\System\tRDzNFW.exe
  C:\Windows\System\tRDzNFW.exe
  2⤵
  PID:11440
- C:\Windows\System\LlrJbWm.exe
  C:\Windows\System\LlrJbWm.exe
  2⤵
  PID:11468
- C:\Windows\System\tjFEqjk.exe
  C:\Windows\System\tjFEqjk.exe
  2⤵
  PID:11488
- C:\Windows\System\zKUBCzw.exe
  C:\Windows\System\zKUBCzw.exe
  2⤵
  PID:11508
- C:\Windows\System\AowvxlZ.exe
  C:\Windows\System\AowvxlZ.exe
  2⤵
  PID:11532
- C:\Windows\System\wqXSmTF.exe
  C:\Windows\System\wqXSmTF.exe
  2⤵
  PID:11552
- C:\Windows\System\eqHtsbY.exe
  C:\Windows\System\eqHtsbY.exe
  2⤵
  PID:11568
- C:\Windows\System\opKPoAt.exe
  C:\Windows\System\opKPoAt.exe
  2⤵
  PID:11588
- C:\Windows\System\hLUkpAr.exe
  C:\Windows\System\hLUkpAr.exe
  2⤵
  PID:11612
- C:\Windows\System\YTQyccW.exe
  C:\Windows\System\YTQyccW.exe
  2⤵
  PID:11640
- C:\Windows\System\IBckkEL.exe
  C:\Windows\System\IBckkEL.exe
  2⤵
  PID:11668
- C:\Windows\System\WMcXfBy.exe
  C:\Windows\System\WMcXfBy.exe
  2⤵
  PID:11684
- C:\Windows\System\LWqIYNU.exe
  C:\Windows\System\LWqIYNU.exe
  2⤵
  PID:11704
- C:\Windows\System\MRWHATX.exe
  C:\Windows\System\MRWHATX.exe
  2⤵
  PID:11728
- C:\Windows\System\WKZHOah.exe
  C:\Windows\System\WKZHOah.exe
  2⤵
  PID:11744
- C:\Windows\System\wzWrbAR.exe
  C:\Windows\System\wzWrbAR.exe
  2⤵
  PID:11760
- C:\Windows\System\qpdetJR.exe
  C:\Windows\System\qpdetJR.exe
  2⤵
  PID:11776
- C:\Windows\System\dVJoxOJ.exe
  C:\Windows\System\dVJoxOJ.exe
  2⤵
  PID:11792
- C:\Windows\System\WrbYLRA.exe
  C:\Windows\System\WrbYLRA.exe
  2⤵
  PID:11812
- C:\Windows\System\CqiXuJm.exe
  C:\Windows\System\CqiXuJm.exe
  2⤵
  PID:11828
- C:\Windows\System\iUfPsgH.exe
  C:\Windows\System\iUfPsgH.exe
  2⤵
  PID:11844
- C:\Windows\System\hOFuXdO.exe
  C:\Windows\System\hOFuXdO.exe
  2⤵
  PID:11860
- C:\Windows\System\OgcyDYf.exe
  C:\Windows\System\OgcyDYf.exe
  2⤵
  PID:11876
- C:\Windows\System\KcUJOIB.exe
  C:\Windows\System\KcUJOIB.exe
  2⤵
  PID:11896
- C:\Windows\System\GtqdUky.exe
  C:\Windows\System\GtqdUky.exe
  2⤵
  PID:11916
- C:\Windows\System\SxRFfYf.exe
  C:\Windows\System\SxRFfYf.exe
  2⤵
  PID:11936
- C:\Windows\System\vVEJKEW.exe
  C:\Windows\System\vVEJKEW.exe
  2⤵
  PID:11968
- C:\Windows\System\aIrekyg.exe
  C:\Windows\System\aIrekyg.exe
  2⤵
  PID:12000
- C:\Windows\System\qEQmhfV.exe
  C:\Windows\System\qEQmhfV.exe
  2⤵
  PID:12024
- - C:\Windows\system32\WerFault.exe
    C:\Windows\system32\WerFault.exe -u -p 12024 -s 240
    3⤵
    PID:4576
- C:\Windows\System\SKePAWm.exe
  C:\Windows\System\SKePAWm.exe
  2⤵
  PID:12052
- C:\Windows\System\bVpjriu.exe
  C:\Windows\System\bVpjriu.exe
  2⤵
  PID:12068
- C:\Windows\System\vlhUAJJ.exe
  C:\Windows\System\vlhUAJJ.exe
  2⤵
  PID:12092
- C:\Windows\System\DFTPPBG.exe
  C:\Windows\System\DFTPPBG.exe
  2⤵
  PID:12120
- C:\Windows\System\vFnCBEX.exe
  C:\Windows\System\vFnCBEX.exe
  2⤵
  PID:12140
- C:\Windows\System\Xkvrsbc.exe
  C:\Windows\System\Xkvrsbc.exe
  2⤵
  PID:12160
- C:\Windows\System\UWJbQvI.exe
  C:\Windows\System\UWJbQvI.exe
  2⤵
  PID:12188
- C:\Windows\System\WLHycBH.exe
  C:\Windows\System\WLHycBH.exe
  2⤵
  PID:12212
- C:\Windows\System\SPqANep.exe
  C:\Windows\System\SPqANep.exe
  2⤵
  PID:12232
- C:\Windows\System\pTUShZL.exe
  C:\Windows\System\pTUShZL.exe
  2⤵
  PID:12252
- C:\Windows\System\mjbTPTZ.exe
  C:\Windows\System\mjbTPTZ.exe
  2⤵
  PID:12276
- C:\Windows\System\nSfVAft.exe
  C:\Windows\System\nSfVAft.exe
  2⤵
  PID:10560
- C:\Windows\System\siPUbLj.exe
  C:\Windows\System\siPUbLj.exe
  2⤵
  PID:10680
- - C:\Windows\system32\WerFault.exe
    C:\Windows\system32\WerFault.exe -u -p 10680 -s 28
    3⤵
    PID:11160
- C:\Windows\System\QlVuvDR.exe
  C:\Windows\System\QlVuvDR.exe
  2⤵
  PID:11236
- C:\Windows\System\lVlTEIZ.exe
  C:\Windows\System\lVlTEIZ.exe
  2⤵
  PID:11260
- C:\Windows\System\HjlQDwi.exe
  C:\Windows\System\HjlQDwi.exe
  2⤵
  PID:10820
- C:\Windows\System\EZOHXBc.exe
  C:\Windows\System\EZOHXBc.exe
  2⤵
  PID:10316
- C:\Windows\System\UIucagD.exe
  C:\Windows\System\UIucagD.exe
  2⤵
  PID:10412
- C:\Windows\System\cgFXGWP.exe
  C:\Windows\System\cgFXGWP.exe
  2⤵
  PID:10752
- C:\Windows\System\YgvfxVO.exe
  C:\Windows\System\YgvfxVO.exe
  2⤵
  PID:10848
- C:\Windows\System\NEcGgDn.exe
  C:\Windows\System\NEcGgDn.exe
  2⤵
  PID:10900
- C:\Windows\System\PLEddhH.exe
  C:\Windows\System\PLEddhH.exe
  2⤵
  PID:10512
- C:\Windows\System\EIzlPDe.exe
  C:\Windows\System\EIzlPDe.exe
  2⤵
  PID:11184
- C:\Windows\System\xYjOVCI.exe
  C:\Windows\System\xYjOVCI.exe
  2⤵
  PID:9628
- C:\Windows\System\riAWgTi.exe
  C:\Windows\System\riAWgTi.exe
  2⤵
  PID:10200
- C:\Windows\System\GVtpvXZ.exe
  C:\Windows\System\GVtpvXZ.exe
  2⤵
  PID:11396
- C:\Windows\System\OtaUsjp.exe
  C:\Windows\System\OtaUsjp.exe
  2⤵
  PID:9808
- C:\Windows\System\bZGiTfU.exe
  C:\Windows\System\bZGiTfU.exe
  2⤵
  PID:11504
- C:\Windows\System\YfsvIqu.exe
  C:\Windows\System\YfsvIqu.exe
  2⤵
  PID:2440
- C:\Windows\System\jHRpeaY.exe
  C:\Windows\System\jHRpeaY.exe
  2⤵
  PID:11608
- C:\Windows\System\WrMZAXG.exe
  C:\Windows\System\WrMZAXG.exe
  2⤵
  PID:4524
- C:\Windows\System\vARxwJL.exe
  C:\Windows\System\vARxwJL.exe
  2⤵
  PID:10944
- C:\Windows\System\WWdmUwa.exe
  C:\Windows\System\WWdmUwa.exe
  2⤵
  PID:10756
- C:\Windows\System\KBZPFOB.exe
  C:\Windows\System\KBZPFOB.exe
  2⤵
  PID:11852
- C:\Windows\System\mrxnVoq.exe
  C:\Windows\System\mrxnVoq.exe
  2⤵
  PID:12300
- C:\Windows\System\aIECmGW.exe
  C:\Windows\System\aIECmGW.exe
  2⤵
  PID:12324
- C:\Windows\System\rBTrFcy.exe
  C:\Windows\System\rBTrFcy.exe
  2⤵
  PID:12348
- C:\Windows\System\mdyVuoo.exe
  C:\Windows\System\mdyVuoo.exe
  2⤵
  PID:12372
- C:\Windows\System\tAGKhuc.exe
  C:\Windows\System\tAGKhuc.exe
  2⤵
  PID:12388
- C:\Windows\System\joBHswG.exe
  C:\Windows\System\joBHswG.exe
  2⤵
  PID:12424
- C:\Windows\System\kYkJqOU.exe
  C:\Windows\System\kYkJqOU.exe
  2⤵
  PID:12444
- C:\Windows\System\qPfifcH.exe
  C:\Windows\System\qPfifcH.exe
  2⤵
  PID:12468
- C:\Windows\System\dZdONCv.exe
  C:\Windows\System\dZdONCv.exe
  2⤵
  PID:12496
- C:\Windows\System\TOasdDc.exe
  C:\Windows\System\TOasdDc.exe
  2⤵
  PID:12516
- C:\Windows\System\XJsRzLk.exe
  C:\Windows\System\XJsRzLk.exe
  2⤵
  PID:12536
- C:\Windows\System\kNiUgSm.exe
  C:\Windows\System\kNiUgSm.exe
  2⤵
  PID:12560
- C:\Windows\System\VqknYjI.exe
  C:\Windows\System\VqknYjI.exe
  2⤵
  PID:12584
- C:\Windows\System\DfpkFXX.exe
  C:\Windows\System\DfpkFXX.exe
  2⤵
  PID:12604
- C:\Windows\System\OdIzFFM.exe
  C:\Windows\System\OdIzFFM.exe
  2⤵
  PID:13096
- C:\Windows\System\IcYwQxl.exe
  C:\Windows\System\IcYwQxl.exe
  2⤵
  PID:11988
- C:\Windows\System\eULKPDV.exe
  C:\Windows\System\eULKPDV.exe
  2⤵
  PID:12084
- C:\Windows\System\OdhBGIB.exe
  C:\Windows\System\OdhBGIB.exe
  2⤵
  PID:11368
- C:\Windows\System\HBsrhbI.exe
  C:\Windows\System\HBsrhbI.exe
  2⤵
  PID:12200
- C:\Windows\System\MUhyblq.exe
  C:\Windows\System\MUhyblq.exe
  2⤵
  PID:10244
- C:\Windows\System\WruzTPL.exe
  C:\Windows\System\WruzTPL.exe
  2⤵
  PID:3984
- C:\Windows\System\njCpKhf.exe
  C:\Windows\System\njCpKhf.exe
  2⤵
  PID:10420
- C:\Windows\System\nSWtMIw.exe
  C:\Windows\System\nSWtMIw.exe
  2⤵
  PID:7804
- C:\Windows\System\VtNUpWC.exe
  C:\Windows\System\VtNUpWC.exe
  2⤵
  PID:11028
- C:\Windows\System\ynYyPuC.exe
  C:\Windows\System\ynYyPuC.exe
  2⤵
  PID:11288
- C:\Windows\System\Bdbzdom.exe
  C:\Windows\System\Bdbzdom.exe
  2⤵
  PID:11752
- C:\Windows\System\IalQuqn.exe
  C:\Windows\System\IalQuqn.exe
  2⤵
  PID:11840
- C:\Windows\System\Akpvgdt.exe
  C:\Windows\System\Akpvgdt.exe
  2⤵
  PID:12532
- C:\Windows\System\SpvTLHY.exe
  C:\Windows\System\SpvTLHY.exe
  2⤵
  PID:12896
- C:\Windows\System\PCpcWNL.exe
  C:\Windows\System\PCpcWNL.exe
  2⤵
  PID:12692
- C:\Windows\System\ccrvjFN.exe
  C:\Windows\System\ccrvjFN.exe
  2⤵
  PID:13004
- C:\Windows\System\VRYgJOy.exe
  C:\Windows\System\VRYgJOy.exe
  2⤵
  PID:3600
- C:\Windows\System\LRAlQpy.exe
  C:\Windows\System\LRAlQpy.exe
  2⤵
  PID:12964
- C:\Windows\System\OarIGtt.exe
  C:\Windows\System\OarIGtt.exe
  2⤵
  PID:13132
- C:\Windows\System\vzEuBtp.exe
  C:\Windows\System\vzEuBtp.exe
  2⤵
  PID:13160
- C:\Windows\System\kpAgrDq.exe
  C:\Windows\System\kpAgrDq.exe
  2⤵
  PID:12980
- C:\Windows\System\gStvTVS.exe
  C:\Windows\System\gStvTVS.exe
  2⤵
  PID:9308
- C:\Windows\System\agBLikX.exe
  C:\Windows\System\agBLikX.exe
  2⤵
  PID:11720
- C:\Windows\System\KpPWxwB.exe
  C:\Windows\System\KpPWxwB.exe
  2⤵
  PID:12616
- C:\Windows\System\HtLUbva.exe
  C:\Windows\System\HtLUbva.exe
  2⤵
  PID:12208
- C:\Windows\System\GeYuZmu.exe
  C:\Windows\System\GeYuZmu.exe
  2⤵
  PID:10492
- C:\Windows\System\ysXeopU.exe
  C:\Windows\System\ysXeopU.exe
  2⤵
  PID:12488
- C:\Windows\System\RiKTsPw.exe
  C:\Windows\System\RiKTsPw.exe
  2⤵
  PID:216
- C:\Windows\System\MsiWOfE.exe
  C:\Windows\System\MsiWOfE.exe
  2⤵
  PID:11544
- C:\Windows\System\mjQvvSa.exe
  C:\Windows\System\mjQvvSa.exe
  2⤵
  PID:11208
- C:\Windows\System\OTxaxec.exe
  C:\Windows\System\OTxaxec.exe
  2⤵
  PID:13308
- C:\Windows\System\sDCHMEQ.exe
  C:\Windows\System\sDCHMEQ.exe
  2⤵
  PID:12220
- C:\Windows\System\exvRLyS.exe
  C:\Windows\System\exvRLyS.exe
  2⤵
  PID:6464
- C:\Windows\System\reIxsAF.exe
  C:\Windows\System\reIxsAF.exe
  2⤵
  PID:9436
- C:\Windows\System\LXrMkLw.exe
  C:\Windows\System\LXrMkLw.exe
  2⤵
  PID:11300
- C:\Windows\System\jLNyYbE.exe
  C:\Windows\System\jLNyYbE.exe
  2⤵
  PID:11032
- C:\Windows\System\CUxFISd.exe
  C:\Windows\System\CUxFISd.exe
  2⤵
  PID:12504
- C:\Windows\System\EQkuoZi.exe
  C:\Windows\System\EQkuoZi.exe
  2⤵
  PID:11400
- C:\Windows\System\dUdRgVZ.exe
  C:\Windows\System\dUdRgVZ.exe
  2⤵
  PID:12612
- C:\Windows\System\wgMobaS.exe
  C:\Windows\System\wgMobaS.exe
  2⤵
  PID:12736
- C:\Windows\System\DaGYFrK.exe
  C:\Windows\System\DaGYFrK.exe
  2⤵
  PID:12364
- C:\Windows\System\STQnoSl.exe
  C:\Windows\System\STQnoSl.exe
  2⤵
  PID:12888
- C:\Windows\System\OJhUBvd.exe
  C:\Windows\System\OJhUBvd.exe
  2⤵
  PID:13120
- C:\Windows\System\VwYSyMg.exe
  C:\Windows\System\VwYSyMg.exe
  2⤵
  PID:11584
- C:\Windows\System\JQNwOZA.exe
  C:\Windows\System\JQNwOZA.exe
  2⤵
  PID:11348
- C:\Windows\System\pgOVpSp.exe
  C:\Windows\System\pgOVpSp.exe
  2⤵
  PID:13256
- C:\Windows\System\IrkRpfT.exe
  C:\Windows\System\IrkRpfT.exe
  2⤵
  PID:10332
- C:\Windows\System\wmPuDcI.exe
  C:\Windows\System\wmPuDcI.exe
  2⤵
  PID:13152
- C:\Windows\System\RBfpduY.exe
  C:\Windows\System\RBfpduY.exe
  2⤵
  PID:4576
- C:\Windows\System\XgTYRTz.exe
  C:\Windows\System\XgTYRTz.exe
  2⤵
  PID:10668
- C:\Windows\System\EhnKIwn.exe
  C:\Windows\System\EhnKIwn.exe
  2⤵
  PID:2620
- C:\Windows\System\SStuVsC.exe
  C:\Windows\System\SStuVsC.exe
  2⤵
  PID:1576
- C:\Windows\System\jHTThOw.exe
  C:\Windows\System\jHTThOw.exe
  2⤵
  PID:12664
- C:\Windows\System\imtRqfv.exe
  C:\Windows\System\imtRqfv.exe
  2⤵
  PID:13064
- C:\Windows\System\budnVdL.exe
  C:\Windows\System\budnVdL.exe
  2⤵
  PID:12268
- C:\Windows\System\cJlOeNL.exe
  C:\Windows\System\cJlOeNL.exe
  2⤵
  PID:1920
- C:\Windows\System\RyqBcyF.exe
  C:\Windows\System\RyqBcyF.exe
  2⤵
  PID:13156
- C:\Windows\System\abObTkW.exe
  C:\Windows\System\abObTkW.exe
  2⤵
  PID:12864
- C:\Windows\System\JKihznZ.exe
  C:\Windows\System\JKihznZ.exe
  2⤵
  PID:11944
- C:\Windows\System\xRLzytq.exe
  C:\Windows\System\xRLzytq.exe
  2⤵
  PID:12988
- C:\Windows\System\iUNNrYN.exe
  C:\Windows\System\iUNNrYN.exe
  2⤵
  PID:5904
- C:\Windows\System\ElFYvVB.exe
  C:\Windows\System\ElFYvVB.exe
  2⤵
  PID:1488
- C:\Windows\System\rOgAuDu.exe
  C:\Windows\System\rOgAuDu.exe
  2⤵
  PID:12508
- C:\Windows\System\FFqkMde.exe
  C:\Windows\System\FFqkMde.exe
  2⤵
  PID:11160
- C:\Windows\System\vRFXuUK.exe
  C:\Windows\System\vRFXuUK.exe
  2⤵
  PID:2672
- C:\Windows\System\WECDglY.exe
  C:\Windows\System\WECDglY.exe
  2⤵
  PID:468
- C:\Windows\System\jTBJMkV.exe
  C:\Windows\System\jTBJMkV.exe
  2⤵
  PID:4848
- C:\Windows\System\CPKvsXT.exe
  C:\Windows\System\CPKvsXT.exe
  2⤵
  PID:2720
- C:\Windows\System\glvNXZK.exe
  C:\Windows\System\glvNXZK.exe
  2⤵
  PID:12224
- C:\Windows\System\kaaUXGe.exe
  C:\Windows\System\kaaUXGe.exe
  2⤵
  PID:12748
- C:\Windows\System\pRBCsNk.exe
  C:\Windows\System\pRBCsNk.exe
  2⤵
  PID:12672
- C:\Windows\System\DJWDAhT.exe
  C:\Windows\System\DJWDAhT.exe
  2⤵
  PID:12544
- C:\Windows\System\YXupqyy.exe
  C:\Windows\System\YXupqyy.exe
  2⤵
  PID:13404
- C:\Windows\System\rvJIwyM.exe
  C:\Windows\System\rvJIwyM.exe
  2⤵
  PID:13600
- C:\Windows\System\KyTYPIN.exe
  C:\Windows\System\KyTYPIN.exe
  2⤵
  PID:13624
- C:\Windows\System\gVTwayT.exe
  C:\Windows\System\gVTwayT.exe
  2⤵
  PID:13892
- C:\Windows\System\mSkDVRZ.exe
  C:\Windows\System\mSkDVRZ.exe
  2⤵
  PID:13908
- C:\Windows\System\ZZBbLsY.exe
  C:\Windows\System\ZZBbLsY.exe
  2⤵
  PID:13992
- C:\Windows\System\gwrjkDQ.exe
  C:\Windows\System\gwrjkDQ.exe
  2⤵
  PID:14016
- C:\Windows\System\assfIcQ.exe
  C:\Windows\System\assfIcQ.exe
  2⤵
  PID:14032
- C:\Windows\System\HtJEEDI.exe
  C:\Windows\System\HtJEEDI.exe
  2⤵
  PID:14060
- C:\Windows\System\gJGmPWI.exe
  C:\Windows\System\gJGmPWI.exe
  2⤵
  PID:14076
- C:\Windows\System\SqlSeSF.exe
  C:\Windows\System\SqlSeSF.exe
  2⤵
  PID:14100
- C:\Windows\System\gGwmlBF.exe
  C:\Windows\System\gGwmlBF.exe
  2⤵
  PID:14120
- C:\Windows\System\ZBHblWY.exe
  C:\Windows\System\ZBHblWY.exe
  2⤵
  PID:14136
- C:\Windows\System\jzBkonv.exe
  C:\Windows\System\jzBkonv.exe
  2⤵
  PID:14152
- C:\Windows\System\RDfwDYc.exe
  C:\Windows\System\RDfwDYc.exe
  2⤵
  PID:14236
- C:\Windows\System\MTFtWQG.exe
  C:\Windows\System\MTFtWQG.exe
  2⤵
  PID:14252
- C:\Windows\System\dqbBPdq.exe
  C:\Windows\System\dqbBPdq.exe
  2⤵
  PID:13644
- C:\Windows\System\buftcjn.exe
  C:\Windows\System\buftcjn.exe
  2⤵
  PID:13688
- C:\Windows\System\eSElllN.exe
  C:\Windows\System\eSElllN.exe
  2⤵
  PID:13716
- C:\Windows\System\xBGQPIX.exe
  C:\Windows\System\xBGQPIX.exe
  2⤵
  PID:13752
- C:\Windows\System\isxZTux.exe
  C:\Windows\System\isxZTux.exe
  2⤵
  PID:13784
- C:\Windows\System\eesfqCf.exe
  C:\Windows\System\eesfqCf.exe
  2⤵
  PID:13804
- C:\Windows\System\ODOkaKF.exe
  C:\Windows\System\ODOkaKF.exe
  2⤵
  PID:14012
- C:\Windows\System\BvYXUer.exe
  C:\Windows\System\BvYXUer.exe
  2⤵
  PID:13392
- C:\Windows\System\FQiuCME.exe
  C:\Windows\System\FQiuCME.exe
  2⤵
  PID:13384
- C:\Windows\System\TOWsXWW.exe
  C:\Windows\System\TOWsXWW.exe
  2⤵
  PID:14272
- C:\Windows\System\hhwQxha.exe
  C:\Windows\System\hhwQxha.exe
  2⤵
  PID:13576
- C:\Windows\System\RKoDpcP.exe
  C:\Windows\System\RKoDpcP.exe
  2⤵
  PID:13588
- C:\Windows\System\EsrHqyc.exe
  C:\Windows\System\EsrHqyc.exe
  2⤵
  PID:13572
- C:\Windows\System\HKPopSk.exe
  C:\Windows\System\HKPopSk.exe
  2⤵
  PID:2800
- C:\Windows\System\wDZhbtl.exe
  C:\Windows\System\wDZhbtl.exe
  2⤵
  PID:14056
- C:\Windows\System\FUOavav.exe
  C:\Windows\System\FUOavav.exe
  2⤵
  PID:1248
- C:\Windows\System\FWsDILb.exe
  C:\Windows\System\FWsDILb.exe
  2⤵
  PID:332
- C:\Windows\System\YUcssqZ.exe
  C:\Windows\System\YUcssqZ.exe
  2⤵
  PID:13768
- C:\Windows\System\XeyHaId.exe
  C:\Windows\System\XeyHaId.exe
  2⤵
  PID:13676
- C:\Windows\System\jbIIuFo.exe
  C:\Windows\System\jbIIuFo.exe
  2⤵
  PID:13296
- C:\Windows\System\bxclBtZ.exe
  C:\Windows\System\bxclBtZ.exe
  2⤵
  PID:3044
- C:\Windows\System\spmREbK.exe
  C:\Windows\System\spmREbK.exe
  2⤵
  PID:4124
- C:\Windows\System\gPAcFZS.exe
  C:\Windows\System\gPAcFZS.exe
  2⤵
  PID:13444
- C:\Windows\System\ZPndgZZ.exe
  C:\Windows\System\ZPndgZZ.exe
  2⤵
  PID:13472
- C:\Windows\System\vbVHLhZ.exe
  C:\Windows\System\vbVHLhZ.exe
  2⤵
  PID:13488
- C:\Windows\System\ctpWELo.exe
  C:\Windows\System\ctpWELo.exe
  2⤵
  PID:13696
- C:\Windows\System\fQDAUuW.exe
  C:\Windows\System\fQDAUuW.exe
  2⤵
  PID:13968
- C:\Windows\System\JYYRXyY.exe
  C:\Windows\System\JYYRXyY.exe
  2⤵
  PID:13324
- C:\Windows\System\didzqpJ.exe
  C:\Windows\System\didzqpJ.exe
  2⤵
  PID:4212
- C:\Windows\System\gFKsFjs.exe
  C:\Windows\System\gFKsFjs.exe
  2⤵
  PID:4108
- C:\Windows\System\jZhoAjr.exe
  C:\Windows\System\jZhoAjr.exe
  2⤵
  PID:4280
- C:\Windows\System\sFcHAKs.exe
  C:\Windows\System\sFcHAKs.exe
  2⤵
  PID:4332
- C:\Windows\System\DgEyBjy.exe
  C:\Windows\System\DgEyBjy.exe
  2⤵
  PID:1776
- C:\Windows\System\teQCMwL.exe
  C:\Windows\System\teQCMwL.exe
  2⤵
  PID:13344
- C:\Windows\System\GTuAXdu.exe
  C:\Windows\System\GTuAXdu.exe
  2⤵
  PID:12936
- C:\Windows\System\buhOyUO.exe
  C:\Windows\System\buhOyUO.exe
  2⤵
  PID:14260
- C:\Windows\System\YEkOUTC.exe
  C:\Windows\System\YEkOUTC.exe
  2⤵
  PID:12680
- C:\Windows\System\jFWDrJV.exe
  C:\Windows\System\jFWDrJV.exe
  2⤵
  PID:13436
- C:\Windows\System\EQQGLKL.exe
  C:\Windows\System\EQQGLKL.exe
  2⤵
  PID:13548
- C:\Windows\System\WoHEaIN.exe
  C:\Windows\System\WoHEaIN.exe
  2⤵
  PID:13496
- C:\Windows\System\mYOIGVt.exe
  C:\Windows\System\mYOIGVt.exe
  2⤵
  PID:13828
- C:\Windows\System\zRqmiUr.exe
  C:\Windows\System\zRqmiUr.exe
  2⤵
  PID:13800
- C:\Windows\System\jVvyQwj.exe
  C:\Windows\System\jVvyQwj.exe
  2⤵
  PID:1184
- C:\Windows\System\gVGUaSs.exe
  C:\Windows\System\gVGUaSs.exe
  2⤵
  PID:13736
- C:\Windows\System\gMvZxDj.exe
  C:\Windows\System\gMvZxDj.exe
  2⤵
  PID:13724
- C:\Windows\System\AIVPEyF.exe
  C:\Windows\System\AIVPEyF.exe
  2⤵
  PID:13664
- C:\Windows\System\MIgMWYH.exe
  C:\Windows\System\MIgMWYH.exe
  2⤵
  PID:13844
- C:\Windows\System\BZsWiuB.exe
  C:\Windows\System\BZsWiuB.exe
  2⤵
  PID:13656
- C:\Windows\System\gjFDZBh.exe
  C:\Windows\System\gjFDZBh.exe
  2⤵
  PID:14204
- C:\Windows\System\cjnGfXB.exe
  C:\Windows\System\cjnGfXB.exe
  2⤵
  PID:13964
- C:\Windows\System\QQafGBB.exe
  C:\Windows\System\QQafGBB.exe
  2⤵
  PID:14196
- C:\Windows\System\YBZMhgk.exe
  C:\Windows\System\YBZMhgk.exe
  2⤵
  PID:14220
- C:\Windows\System\rQhEXQa.exe
  C:\Windows\System\rQhEXQa.exe
  2⤵
  PID:2464
- C:\Windows\System\bcgQzhY.exe
  C:\Windows\System\bcgQzhY.exe
  2⤵
  PID:2752
- C:\Windows\System\HCHCywC.exe
  C:\Windows\System\HCHCywC.exe
  2⤵
  PID:4736
- C:\Windows\System\pQmmOAG.exe
  C:\Windows\System\pQmmOAG.exe
  2⤵
  PID:992
- C:\Windows\System\BEBaNBD.exe
  C:\Windows\System\BEBaNBD.exe
  2⤵
  PID:2568
- C:\Windows\System\jUmnRhF.exe
  C:\Windows\System\jUmnRhF.exe
  2⤵
  PID:13652
- C:\Windows\System\GditpIQ.exe
  C:\Windows\System\GditpIQ.exe
  2⤵
  PID:14028
- C:\Windows\System\mntcRGf.exe
  C:\Windows\System\mntcRGf.exe
  2⤵
  PID:2784
- C:\Windows\System\bLptrWN.exe
  C:\Windows\System\bLptrWN.exe
  2⤵
  PID:3168
- C:\Windows\System\oNxCfsg.exe
  C:\Windows\System\oNxCfsg.exe
  2⤵
  PID:13904
- C:\Windows\System\YbfEFKu.exe
  C:\Windows\System\YbfEFKu.exe
  2⤵
  PID:11132
- C:\Windows\System\xxcuMrG.exe
  C:\Windows\System\xxcuMrG.exe
  2⤵
  PID:912
- C:\Windows\System\LXQyarP.exe
  C:\Windows\System\LXQyarP.exe
  2⤵
  PID:14112
- C:\Windows\System\dmSxqAQ.exe
  C:\Windows\System\dmSxqAQ.exe
  2⤵
  PID:816
- C:\Windows\System\gWaqLyI.exe
  C:\Windows\System\gWaqLyI.exe
  2⤵
  PID:14312
- C:\Windows\System\xgyMpbp.exe
  C:\Windows\System\xgyMpbp.exe
  2⤵
  PID:14096
- C:\Windows\System\VbmoIgH.exe
  C:\Windows\System\VbmoIgH.exe
  2⤵
  PID:2520
- C:\Windows\System\GmPmQEz.exe
  C:\Windows\System\GmPmQEz.exe
  2⤵
  PID:13740
- C:\Windows\System\TWLUFqg.exe
  C:\Windows\System\TWLUFqg.exe
  2⤵
  PID:796
- C:\Windows\System\jEmHsVk.exe
  C:\Windows\System\jEmHsVk.exe
  2⤵
  PID:13356
- C:\Windows\System\nQDWkkH.exe
  C:\Windows\System\nQDWkkH.exe
  2⤵
  PID:13412
- C:\Windows\System\zHocCkX.exe
  C:\Windows\System\zHocCkX.exe
  2⤵
  PID:2024
- C:\Windows\System\oKThZzT.exe
  C:\Windows\System\oKThZzT.exe
  2⤵
  PID:14068
- C:\Windows\System\bByFZdH.exe
  C:\Windows\System\bByFZdH.exe
  2⤵
  PID:4388
- C:\Windows\System\aYPtdtT.exe
  C:\Windows\System\aYPtdtT.exe
  2⤵
  PID:3824
- C:\Windows\System\ASiTAGP.exe
  C:\Windows\System\ASiTAGP.exe
  2⤵
  PID:3520
- C:\Windows\System\XGiBBdL.exe
  C:\Windows\System\XGiBBdL.exe
  2⤵
  PID:3992
- C:\Windows\System\RGLJBzv.exe
  C:\Windows\System\RGLJBzv.exe
  2⤵
  PID:13492
- C:\Windows\System\rJeeJiv.exe
  C:\Windows\System\rJeeJiv.exe
  2⤵
  PID:13244
- C:\Windows\System\evVCJED.exe
  C:\Windows\System\evVCJED.exe
  2⤵
  PID:14004
- C:\Windows\System\lakbEUi.exe
  C:\Windows\System\lakbEUi.exe
  2⤵
  PID:13580
- C:\Windows\System\USUFZpv.exe
  C:\Windows\System\USUFZpv.exe
  2⤵
  PID:3988
- C:\Windows\System\aSpdhHK.exe
  C:\Windows\System\aSpdhHK.exe
  2⤵
  PID:4556
- C:\Windows\System\MSAmqQb.exe
  C:\Windows\System\MSAmqQb.exe
  2⤵
  PID:3200
- C:\Windows\System\FkbcHeR.exe
  C:\Windows\System\FkbcHeR.exe
  2⤵
  PID:3800
- C:\Windows\System\yNJZTor.exe
  C:\Windows\System\yNJZTor.exe
  2⤵
  PID:3232
- C:\Windows\System\SdquxHD.exe
  C:\Windows\System\SdquxHD.exe
  2⤵
  PID:1544
- C:\Windows\System\MLYdVhW.exe
  C:\Windows\System\MLYdVhW.exe
  2⤵
  PID:4728
- C:\Windows\System\yMMbEyz.exe
  C:\Windows\System\yMMbEyz.exe
  2⤵
  PID:4068
- C:\Windows\System\loQHYUi.exe
  C:\Windows\System\loQHYUi.exe
  2⤵
  PID:1188
- C:\Windows\System\byZkoOi.exe
  C:\Windows\System\byZkoOi.exe
  2⤵
  PID:3848
- C:\Windows\System\UALVcdm.exe
  C:\Windows\System\UALVcdm.exe
  2⤵
  PID:3952
- C:\Windows\System\JZsVckK.exe
  C:\Windows\System\JZsVckK.exe
  2⤵
  PID:14088
- C:\Windows\System\zeooovP.exe
  C:\Windows\System\zeooovP.exe
  2⤵
  PID:14216
- C:\Windows\System\GkStAWw.exe
  C:\Windows\System\GkStAWw.exe
  2⤵
  PID:1316
- C:\Windows\System\UNkHZTk.exe
  C:\Windows\System\UNkHZTk.exe
  2⤵
  PID:348
- C:\Windows\System\reWXXVM.exe
  C:\Windows\System\reWXXVM.exe
  2⤵
  PID:3048
- C:\Windows\System\WXbQdFK.exe
  C:\Windows\System\WXbQdFK.exe
  2⤵
  PID:14084
- C:\Windows\System\zNmoyfz.exe
  C:\Windows\System\zNmoyfz.exe
  2⤵
  PID:13924
- C:\Windows\System\aHbepIf.exe
  C:\Windows\System\aHbepIf.exe
  2⤵
  PID:1844
- C:\Windows\System\pBoYwkd.exe
  C:\Windows\System\pBoYwkd.exe
  2⤵
  PID:14320
- C:\Windows\System\EazOgoN.exe
  C:\Windows\System\EazOgoN.exe
  2⤵
  PID:13036
- C:\Windows\System\gAuxUSm.exe
  C:\Windows\System\gAuxUSm.exe
  2⤵
  PID:828
- C:\Windows\System\TJYvHkm.exe
  C:\Windows\System\TJYvHkm.exe
  2⤵
  PID:2508
- C:\Windows\System\jaqkouU.exe
  C:\Windows\System\jaqkouU.exe
  2⤵
  PID:4760
- C:\Windows\System\AMHCadB.exe
  C:\Windows\System\AMHCadB.exe
  2⤵
  PID:13448
- C:\Windows\System\zkZIcAq.exe
  C:\Windows\System\zkZIcAq.exe
  2⤵
  PID:13316
- C:\Windows\System\lcsyDzi.exe
  C:\Windows\System\lcsyDzi.exe
  2⤵
  PID:6224
- C:\Windows\System\MSsdPRp.exe
  C:\Windows\System\MSsdPRp.exe
  2⤵
  PID:4044
- C:\Windows\System\idaieoB.exe
  C:\Windows\System\idaieoB.exe
  2⤵
  PID:13372
- C:\Windows\System\fPzXRQO.exe
  C:\Windows\System\fPzXRQO.exe
  2⤵
  PID:12628
- C:\Windows\System\QtBnIyy.exe
  C:\Windows\System\QtBnIyy.exe
  2⤵
  PID:7808
- C:\Windows\System\dxRMXQA.exe
  C:\Windows\System\dxRMXQA.exe
  2⤵
  PID:13868
- C:\Windows\System\FbaKQMe.exe
  C:\Windows\System\FbaKQMe.exe
  2⤵
  PID:4140
- C:\Windows\System\uNgQRZA.exe
  C:\Windows\System\uNgQRZA.exe
  2⤵
  PID:1220
- C:\Windows\System\lpFsSny.exe
  C:\Windows\System\lpFsSny.exe
  2⤵
  PID:7924
- C:\Windows\System\vomezjB.exe
  C:\Windows\System\vomezjB.exe
  2⤵
  PID:1600
- C:\Windows\System\fuuQFOx.exe
  C:\Windows\System\fuuQFOx.exe
  2⤵
  PID:1768
- C:\Windows\System\VFYuVLa.exe
  C:\Windows\System\VFYuVLa.exe
  2⤵
  PID:772
- C:\Windows\System\RkxpIwF.exe
  C:\Windows\System\RkxpIwF.exe
  2⤵
  PID:4852
- C:\Windows\System\safjsQk.exe
  C:\Windows\System\safjsQk.exe
  2⤵
  PID:2932
- C:\Windows\System\DmTmRbY.exe
  C:\Windows\System\DmTmRbY.exe
  2⤵
  PID:2084
- C:\Windows\System\QYGNssf.exe
  C:\Windows\System\QYGNssf.exe
  2⤵
  PID:3176
- C:\Windows\System\VpqdxZX.exe
  C:\Windows\System\VpqdxZX.exe
  2⤵
  PID:4856
- C:\Windows\System\jFdjyKx.exe
  C:\Windows\System\jFdjyKx.exe
  2⤵
  PID:3788
- C:\Windows\System\DQrlKbd.exe
  C:\Windows\System\DQrlKbd.exe
  2⤵
  PID:13980
- C:\Windows\System\hxXNFUr.exe
  C:\Windows\System\hxXNFUr.exe
  2⤵
  PID:1396
- C:\Windows\System\ToKPdIZ.exe
  C:\Windows\System\ToKPdIZ.exe
  2⤵
  PID:4596
- C:\Windows\System\zsNYRyB.exe
  C:\Windows\System\zsNYRyB.exe
  2⤵
  PID:13168
- C:\Windows\System\npMYjsm.exe
  C:\Windows\System\npMYjsm.exe
  2⤵
  PID:1176
- C:\Windows\System\gISnsYw.exe
  C:\Windows\System\gISnsYw.exe
  2⤵
  PID:3828
- C:\Windows\System\EpiVEBp.exe
  C:\Windows\System\EpiVEBp.exe
  2⤵
  PID:3900
- C:\Windows\System\MZyETsJ.exe
  C:\Windows\System\MZyETsJ.exe
  2⤵
  PID:3008
- C:\Windows\System\fTpMOcx.exe
  C:\Windows\System\fTpMOcx.exe
  2⤵
  PID:3148
- C:\Windows\System\SoIbTdV.exe
  C:\Windows\System\SoIbTdV.exe
  2⤵
  PID:3416
- C:\Windows\System\hCvWbDV.exe
  C:\Windows\System\hCvWbDV.exe
  2⤵
  PID:5064
- C:\Windows\System\Tauhzkw.exe
  C:\Windows\System\Tauhzkw.exe
  2⤵
  PID:4724
- C:\Windows\System\VvcnBPz.exe
  C:\Windows\System\VvcnBPz.exe
  2⤵
  PID:620
- C:\Windows\System\UuFdAsA.exe
  C:\Windows\System\UuFdAsA.exe
  2⤵
  PID:4152
- C:\Windows\System\ZvbGoHO.exe
  C:\Windows\System\ZvbGoHO.exe
  2⤵
  PID:4484
- C:\Windows\System\iMiOOUm.exe
  C:\Windows\System\iMiOOUm.exe
  2⤵
  PID:1528
- C:\Windows\System\LuCVpXs.exe
  C:\Windows\System\LuCVpXs.exe
  2⤵
  PID:2144
- C:\Windows\System\ZjJamIW.exe
  C:\Windows\System\ZjJamIW.exe
  2⤵
  PID:11372
- C:\Windows\System\ouGQYCv.exe
  C:\Windows\System\ouGQYCv.exe
  2⤵
  PID:3784
- C:\Windows\System\GlocZMT.exe
  C:\Windows\System\GlocZMT.exe
  2⤵
  PID:4064
- C:\Windows\System\hrEfNQt.exe
  C:\Windows\System\hrEfNQt.exe
  2⤵
  PID:1956
- C:\Windows\System\LIGXETg.exe
  C:\Windows\System\LIGXETg.exe
  2⤵
  PID:1052
- C:\Windows\System\twUjTyB.exe
  C:\Windows\System\twUjTyB.exe
  2⤵
  PID:852
- C:\Windows\System\BZJPFnq.exe
  C:\Windows\System\BZJPFnq.exe
  2⤵
  PID:13564
- C:\Windows\System\jIoKITu.exe
  C:\Windows\System\jIoKITu.exe
  2⤵
  PID:3316
- C:\Windows\System\qYcralv.exe
  C:\Windows\System\qYcralv.exe
  2⤵
  PID:4912
- C:\Windows\System\iAbGHOr.exe
  C:\Windows\System\iAbGHOr.exe
  2⤵
  PID:3292
- C:\Windows\System\YqTEAyj.exe
  C:\Windows\System\YqTEAyj.exe
  2⤵
  PID:4480
- C:\Windows\System\JGFutWH.exe
  C:\Windows\System\JGFutWH.exe
  2⤵
  PID:3160
- C:\Windows\System\ptzJvRv.exe
  C:\Windows\System\ptzJvRv.exe
  2⤵
  PID:3136
- C:\Windows\System\gVbkZWi.exe
  C:\Windows\System\gVbkZWi.exe
  2⤵
  PID:2864
- C:\Windows\System\yiACUkB.exe
  C:\Windows\System\yiACUkB.exe
  2⤵
  PID:908
- C:\Windows\System\nYurYEu.exe
  C:\Windows\System\nYurYEu.exe
  2⤵
  PID:3180
- C:\Windows\System\FjZmDJS.exe
  C:\Windows\System\FjZmDJS.exe
  2⤵
  PID:14352
- C:\Windows\System\wtSEYXn.exe
  C:\Windows\System\wtSEYXn.exe
  2⤵
  PID:14368
- C:\Windows\System\VAxPTAB.exe
  C:\Windows\System\VAxPTAB.exe
  2⤵
  PID:14384
- C:\Windows\System\BBeslRs.exe
  C:\Windows\System\BBeslRs.exe
  2⤵
  PID:14400
- C:\Windows\System\eVEJRta.exe
  C:\Windows\System\eVEJRta.exe
  2⤵
  PID:14416
- C:\Windows\System\miJBeOr.exe
  C:\Windows\System\miJBeOr.exe
  2⤵
  PID:14440
- C:\Windows\System\aCJTMmI.exe
  C:\Windows\System\aCJTMmI.exe
  2⤵
  PID:14524
- C:\Windows\System\ICdgjDh.exe
  C:\Windows\System\ICdgjDh.exe
  2⤵
  PID:14540
- C:\Windows\System\fiyXzuK.exe
  C:\Windows\System\fiyXzuK.exe
  2⤵
  PID:14592
- C:\Windows\System\kHQqylT.exe
  C:\Windows\System\kHQqylT.exe
  2⤵
  PID:14608
- C:\Windows\System\UVgiqwm.exe
  C:\Windows\System\UVgiqwm.exe
  2⤵
  PID:14628
- C:\Windows\System\AMJIpVC.exe
  C:\Windows\System\AMJIpVC.exe
  2⤵
  PID:14648
- C:\Windows\System\pDXcZlV.exe
  C:\Windows\System\pDXcZlV.exe
  2⤵
  PID:14680
- C:\Windows\System\QYrJbKQ.exe
  C:\Windows\System\QYrJbKQ.exe
  2⤵
  PID:14700
- C:\Windows\System\vesaggp.exe
  C:\Windows\System\vesaggp.exe
  2⤵
  PID:14720
- C:\Windows\System\zYmAMzU.exe
  C:\Windows\System\zYmAMzU.exe
  2⤵
  PID:14736
- C:\Windows\System\VftLcaK.exe
  C:\Windows\System\VftLcaK.exe
  2⤵
  PID:14752
- C:\Windows\System\eyYEktE.exe
  C:\Windows\System\eyYEktE.exe
  2⤵
  PID:14768
- C:\Windows\System\SeltmlR.exe
  C:\Windows\System\SeltmlR.exe
  2⤵
  PID:14792
- C:\Windows\System\jDNtzQl.exe
  C:\Windows\System\jDNtzQl.exe
  2⤵
  PID:14820
- C:\Windows\System\GWvcqhE.exe
  C:\Windows\System\GWvcqhE.exe
  2⤵
  PID:14840
- C:\Windows\System\uksAfSN.exe
  C:\Windows\System\uksAfSN.exe
  2⤵
  PID:14860
- C:\Windows\System\UKPQHtM.exe
  C:\Windows\System\UKPQHtM.exe
  2⤵
  PID:14884
- C:\Windows\System\tlisptR.exe
  C:\Windows\System\tlisptR.exe
  2⤵
  PID:14912
- C:\Windows\System\nvRznnI.exe
  C:\Windows\System\nvRznnI.exe
  2⤵
  PID:14936
- C:\Windows\System\deYZUdK.exe
  C:\Windows\System\deYZUdK.exe
  2⤵
  PID:14956
- C:\Windows\System\SiPjdyq.exe
  C:\Windows\System\SiPjdyq.exe
  2⤵
  PID:14980
- C:\Windows\System\DLVWVYu.exe
  C:\Windows\System\DLVWVYu.exe
  2⤵
  PID:15024

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 488 -p 12000 -ip 12000
1⤵
PID:12672

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 624 -p 10316 -ip 10316
1⤵
PID:13064

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13960

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
- Suspicious use of FindShellTrayWindow
PID:14048

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13740

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k UnistackSvcGroup -s CDPUserSvc
1⤵
PID:11216

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p -s cbdhsvc
1⤵
PID:5044

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:3876

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:12876

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:4768

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:1212

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:4592

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s wlidsvc
1⤵
PID:3928

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000c8 000000c0
1⤵
- Suspicious behavior: LoadsDriver
PID:4460

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000164 000000c0
1⤵
- Suspicious behavior: LoadsDriver
PID:3404

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000148 000000c0
1⤵
- Suspicious behavior: LoadsDriver
PID:228

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000128 000000c0
1⤵
- Suspicious behavior: LoadsDriver
PID:5024

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000014c 000000c0
1⤵
- Suspicious behavior: LoadsDriver
PID:3504

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000148 000000c0
1⤵
- Suspicious behavior: LoadsDriver
PID:5468

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000178 000000c0
1⤵
PID:5668

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000158 000000c0
1⤵
PID:5816

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000001b0 000000c0
1⤵
PID:5368

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000020c 000000c0
1⤵
PID:6872

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000260 000000c0
1⤵
PID:8316

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000002d4 000000c0
1⤵
PID:10752

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000030c 000000c0
1⤵
PID:13656

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000368 000000c0
1⤵
PID:14204

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000030c 000000c0
1⤵
PID:992

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000039c 000000c0
1⤵
PID:14196

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000370 000000c0
1⤵
PID:2464

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000388 000000c0
1⤵
PID:2752

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000370 000000c0
1⤵
PID:2784

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000350 000000c0
1⤵
PID:11132

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000358 000000c0
1⤵
PID:13740

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000039c 000000c0
1⤵
PID:13412

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000036c 000000c0
1⤵
PID:4388

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000030c 000000c0
1⤵
PID:14004

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000370 000000c0
1⤵
PID:13580

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003a8 000000c0
1⤵
PID:13244

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003ac 000000c0
1⤵
PID:3988

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000398 000000c0
1⤵
PID:4068

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000358 000000c0
1⤵
PID:4556

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003a8 000000c0
1⤵
PID:3200

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000038c 000000c0
1⤵
PID:3232

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000370 000000c0
1⤵
PID:1188

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b0 000000c0
1⤵
PID:3848

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000038c 000000c0
1⤵
PID:348

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000358 000000c0
1⤵
PID:14216

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003cc 000000c0
1⤵
PID:14320

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003e0 000000c0
1⤵
PID:13924

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f0 000000c0
1⤵
PID:2084

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003e8 000000c0
1⤵
PID:1176

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f4 000000c0
1⤵
PID:3316

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f8 000000c0
1⤵
PID:14440

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b8 000000c0
1⤵
PID:14648

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000380 000000c0
1⤵
PID:14912

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003d4 000000c0
1⤵
PID:14980

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003cc 000000c0
1⤵
PID:4988

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f0 000000c0
1⤵
PID:6640

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003d8 000000c0
1⤵
PID:6748

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f8 000000c0
1⤵
PID:6832

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000380 000000c0
1⤵
PID:7052

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b8 000000c0
1⤵
PID:6196

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f8 000000c0
1⤵
PID:7972

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003c8 000000c0
1⤵
PID:7004

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b8 000000c0
1⤵
PID:8968

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003c8 000000c0
1⤵
PID:12604

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003e4 000000c0
1⤵
PID:13004

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000368 000000c0
1⤵
PID:13256

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000035c 000000c0
1⤵
PID:1920

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000368 000000c0
1⤵
PID:1488

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b0 000000c0
1⤵
PID:14060

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003fc 000000c0
1⤵
PID:13588

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f8 000000c0
1⤵
PID:332

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000030c 000000c0
1⤵
PID:4240

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003d8 000000c0
1⤵
PID:4008

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000358 000000c0
1⤵
PID:5996

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003cc 000000c0
1⤵
PID:6340

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003c4 000000c0
1⤵
PID:7624

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:7888

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003fc 000000c0
1⤵
PID:5724

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000390 000000c0
1⤵
PID:4848

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003e8 000000c0
1⤵
PID:12224

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:13384

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b0 000000c0
1⤵
PID:14076

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b4 000000c0
1⤵
PID:14136

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:14152

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f0 000000c0
1⤵
PID:14236

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b0 000000c0
1⤵
PID:13752

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:13784

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003c8 000000c0
1⤵
PID:13572

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b4 000000c0
1⤵
PID:2800

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003f0 000000c0
1⤵
PID:14056

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003e8 000000c0
1⤵
PID:13296

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:13768

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000390 000000c0
1⤵
PID:13676

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b4 000000c0
1⤵
PID:3044

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:4124

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b4 000000c0
1⤵
PID:13968

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003b0 000000c0
1⤵
PID:13548

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:1184

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003c8 000000c0
1⤵
PID:816

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000360 000000c0
1⤵
PID:3800

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003fc 000000c0
1⤵
PID:4364

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000039c 000000c0
1⤵
PID:5248

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000370 000000c0
1⤵
PID:6328

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000003fc 000000c0
1⤵
PID:6248

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000034c 000000c0
1⤵
PID:7492

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000030c 000000c0
1⤵
PID:6628

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000104 000000c0
1⤵
PID:6572

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:7108

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000fc 000000c0
1⤵
PID:7828

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000d0 000000c0
1⤵
PID:8568

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000104 000000c0
1⤵
PID:8996

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:7220

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f0 000000c0
1⤵
PID:8008

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000d0 000000c0
1⤵
PID:8440

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000a0 000000c0
1⤵
PID:8236

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e0 000000c0
1⤵
PID:7980

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000104 000000c0
1⤵
PID:9136

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000fc 000000c0
1⤵
PID:4356

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e0 000000c0
1⤵
PID:1048

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000d0 000000c0
1⤵
PID:1692

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e0 000000c0
1⤵
PID:9268

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f8 000000c0
1⤵
PID:9528

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e0 000000c0
1⤵
PID:9560

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000130 000000c0
1⤵
PID:9880

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f8 000000c0
1⤵
PID:8040

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e4 000000c0
1⤵
PID:10040

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000c8 000000c0
1⤵
PID:10084

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000010c 000000c0
1⤵
PID:2608

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e8 000000c0
1⤵
PID:9300

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000c8 000000c0
1⤵
PID:10068

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e8 000000c0
1⤵
PID:9444

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000114 000000c0
1⤵
PID:9680

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000120 000000c0
1⤵
PID:9768

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000d0 000000c0
1⤵
PID:10252

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f8 000000c0
1⤵
PID:10348

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e4 000000c0
1⤵
PID:10468

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:10500

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e0 000000c0
1⤵
PID:10600

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000098 000000c0
1⤵
PID:10672

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:10732

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000098 000000c0
1⤵
PID:10860

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:10996

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:11244

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000fc 000000c0
1⤵
PID:1332

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000098 000000c0
1⤵
PID:9644

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:4312

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000010c 000000c0
1⤵
PID:9264

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000a0 000000c0
1⤵
PID:10572

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000098 000000c0
1⤵
PID:10760

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:10264

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f0 000000c0
1⤵
PID:10988

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:11312

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:11404

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000010c 000000c0
1⤵
PID:11468

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:11588

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f0 000000c0
1⤵
PID:11728

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000d0 000000c0
1⤵
PID:11776

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000108 000000c0
1⤵
PID:11828

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000d0 000000c0
1⤵
PID:11936

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000e8 000000c0
1⤵
PID:12160

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000f0 000000c0
1⤵
PID:12212

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:10412

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000098 000000c0
1⤵
PID:12536

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:11368

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000a0 000000c0
1⤵
PID:7804

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000098 000000c0
1⤵
PID:12532

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000dc 000000c0
1⤵
PID:13132

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 0000010c 000000c0
1⤵
PID:12980

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 000000fc 000000c0
1⤵
PID:12616

C:\Windows\System32\smss.exe
\SystemRoot\System32\smss.exe 00000118 000000c0
1⤵
PID:216

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

T1059

PowerShell

T1059.001

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Web Service

T1102

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_sdd2rhpy.pf5.ps1

Filesize
60B

MD5
d17fe0a3f47be24a6453e9ef58c94641

SHA1
6ab83620379fc69f80c0242105ddffd7d98d5d9d

SHA256
96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7

SHA512
5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

Download Submit
C:\Windows\System\AEhLVfu.exe

Filesize
2.7MB

MD5
5211626c5fd4cddb6db9544a9bad7d49

SHA1
9578cec3c351d8b6668591ff4f13ed1d01af6f6b

SHA256
1bfbb45daa20d81e9dd2b2c1abbd15bd440534c7cb95ada2f12f4d40c9862fca

SHA512
e0668ace08820a5010ea8b21d584294085fbcaedc98daa6207246940de7e726e0a56479ac35e1d1b80b34a702651a64ba2cf5217da304b4297d186672d942181

Download Submit
C:\Windows\System\AbavsaB.exe

Filesize
2.7MB

MD5
c73be561a65efef19b7a14e4943bd5ba

SHA1
ad27aeddb4119a59313d41f760bcc9409208932d

SHA256
fed24fee0db18b67be9d257c2329407243a9299a4b3b9b0d6532c2badbdfe21a

SHA512
bd97b5dd563bcd62e326be48f6f07e38bdebd279fd0ca0746c30f59b7ae5f406272ca37026259f5c9b4bffee785bdc800e0603b7753bf34e9b58272dc24d641c

Download Submit
C:\Windows\System\BAbXyMH.exe

Filesize
2.7MB

MD5
daee665e709deb1c1bd3adaefe5c91bb

SHA1
f1785cc50e275f5daee1e013853235173f6e06d3

SHA256
b4b0d0b715a3740a2e4c942aff73df50f2ef6e1d94932041f1a1a5b5003ce8db

SHA512
e518a21eecfb64401918638cf4c38dac24dd1db6f071eb81d85783ee880334d257af7cca31b38330e6f8859766c20e2b657e26dabb06edae94a7055855c30206

Download Submit
C:\Windows\System\BTqTMPu.exe

Filesize
2.7MB

MD5
4c1793d1eeeb0b68c44397bf06ccc552

SHA1
7985a9de5bd12d87cbbf69bd2362107a399ef8cb

SHA256
1b8db6524d4442baa4e21805cb9dfed3f86c1e7b3099c7e2746e2dfd8050ef5f

SHA512
56cf05d3a60a3c671cfdc2bef6d750de5ad6f385cf96a4cc2362242ed75f95a62207282c0042bb44bfdaffd3f65d51435dbbddb1a7672dba304485e6b3af4fd5

Download Submit
C:\Windows\System\BmusUyc.exe

Filesize
2.7MB

MD5
635ccb032c72ece7db68ea0fea04cecb

SHA1
51c82b628d6587c0ff0cacd4306d6b427601b5d0

SHA256
cb9b645c92ddf565a729733ac590d71b759baf5d7a1f36ee13e26a807baa620e

SHA512
dead60a36af6837abb09938bd9a547a4bee2b9dbc3e12a20ea9580dcac3328b2d75548ae5d805b97009801a383b18bdd7c17a19432717897c1db4b9604520978

Download Submit
C:\Windows\System\DPdermc.exe

Filesize
2.7MB

MD5
3a9e25704705f1439d159b70e4b73f6a

SHA1
89c180eb1a95b3e13bdc473fc4766e453583bf5e

SHA256
32b961818edb8a5352d256db146756845bbc8b263639eb890c8c7d1bfff1bd87

SHA512
711ed9c3982bce5fce3194feff7f80ab11e287525c75bce7e0175f978028f2d25c76fecbfc62abf3704f814fbaae76af9429a461d33f70e478a7a4c4c0096267

Download Submit
C:\Windows\System\EmSbxMJ.exe

Filesize
2.7MB

MD5
7b105e2437be2468be1f87799605a707

SHA1
177331cfea1b09ec136efc0b0389932f891c397a

SHA256
3994b4820f4579746848cb41b5b6c3fce5bfd09e18bf04331ee04f8efa31e002

SHA512
120c8eb12223ed9218eadf759160aa33983d58609695a6da1c2134810a4acb606ff51b0f7e9da1dc30e7d60d2dad3729437067482b07fcff9402361e5c7e0977

Download Submit
C:\Windows\System\FoAtrhN.exe

Filesize
2.7MB

MD5
2bb7db7e7b9520f245c19522f5a6b5d5

SHA1
c01f8dea6c2196bc682520cd27242bd051eefe82

SHA256
47d7bd50637aab6fae548d883de126390ca11df2c30a5b38f012870c4208cff5

SHA512
b4d8d4d9cc760320acecc5fa1c51d13ec51049bf1cb91c21d3723fcf24d45e52d33d4c7cce5abbf19902b1172659fb764dc5d9e3360f1c45820cb0798339178c

Download Submit
C:\Windows\System\HgKfAww.exe

Filesize
2.7MB

MD5
f5a12d2cd17f1bcbdcfbe6fca0f3e32b

SHA1
e8267cfd20b5d9e9e835c25053ce2252b84adb52

SHA256
337961af20ce388cdfdcec28385536d435377352c36b37ab979fa0f88c336b27

SHA512
fa2489fa09fbfc47bceac7ce12bf23a8f33fd4ec9c22e584dbba85052f6f518feee746ab2bb90aebc31fc6cb53be54ac9b72a6f5efa9afd283690bdccef18186

Download Submit
C:\Windows\System\KoZthgq.exe

Filesize
2.7MB

MD5
5befab739987851c0bc398e513acc3d0

SHA1
2ca8da59c16734e42e1b2ea715368a6e4a49dd09

SHA256
b24d9fa25862c21a8f22f0865afe8724dcedebc7a95e1b799e1d02c435a048e0

SHA512
4653b09414b4c318e4cca9206602ebfc444e06ec9ad5800a3a930e5c3f3619116ea70bc9d09104d8349a4933d922855b4f4e49bddfa5d91622e665d3ab4e77c8

Download Submit
C:\Windows\System\LvciZmw.exe

Filesize
2.7MB

MD5
0210d454bc9bb2105056a9f6141d919d

SHA1
08c52e075e6f99eba93b76857b5f7ee54f859907

SHA256
2bfcd1283aa547a5be0ac850cda258ca046d2b1c68207f10348d21044d2785c8

SHA512
f63c0445ef8fabbc0b9ef6b921ec952f19ec5113ff071327c965f02c8d8f5e90bb35886c4048e66aa2ac0847b3019744f767f55458db7c9862c04a61ef1c4d57

Download Submit
C:\Windows\System\MpXqFjr.exe

Filesize
2.7MB

MD5
af8bf09ec98e4eca4fb8d644601d714a

SHA1
1394b265fbb9221363676034c3768f7200968148

SHA256
b2b3ebae40937643c8b360c94d1760a494f0b0042baded1751753e6bdf4be73a

SHA512
c7741e8859e176b67c0b4379337e10e4f8e373cf49c515cbf0168f23dd472d0fb2bfb7eb558f9c2b4157bd67c680d0a2a13f558ccee1eb2898dc9a68fe7b1f3f

Download Submit
C:\Windows\System\MxddoQC.exe

Filesize
2.7MB

MD5
97f9ae3dc79e9ec1d46b8590a1a24f16

SHA1
91899b1793182cadf84ad4d7018ec57188dafd74

SHA256
6f7c2ba54de6c668072e052ec0a608cbbf5ab6d2a919dfd38cbdacc67e81f8be

SHA512
2d0485ccad2b4fbc5508a0f555b2f4f7ee1b808cbf0db134ce720a103f0b92119576988fba628f5c4e3fb5943ef270369ce1f964ef681e105b781efbc1b24472

Download Submit
C:\Windows\System\NWhlHpl.exe

Filesize
2.7MB

MD5
d5ef70e41e2acffbf9c883fd8684c9aa

SHA1
515d3e35841c8c92a75add3ac8c738cddbb52f93

SHA256
ee8dfc56ac405a3c96337a594e5a960217a008392aa7c2c7452eea506ea1cf4a

SHA512
b0c4502d9baab351ecc4c912084215bc30cdedff7b318ed39129507e5c62da4f53178a74b40fda2a2e90b7e154330aefa2b278300c521220d191657bbc0609f9

Download Submit
C:\Windows\System\QNhmTeD.exe

Filesize
2.7MB

MD5
9f92d12fe53745363112ae90171d7513

SHA1
43b537709671c3a35f165ccddf166d332b71e11c

SHA256
fe4a9fc4150492d6f9fe6e4e199e46154bc4f1a0975baa1fb7ec3d2f6008eb66

SHA512
95e6339c977c858e59f5ed25caac3779df2d3e655ee65d2a0b404d568affdffea241a68d3110e3cefba222d5a1ef0fde4aeacc5d383bec1d351a03b28a1a1d86

Download Submit
C:\Windows\System\QZgBAxA.exe

Filesize
2.7MB

MD5
be613b3fe488f59f8fe322fe6a5cc4b8

SHA1
13b52c99257cc6379754dcd17dd754c73ac437f9

SHA256
a01ecfd3993d9be9df5d9b485b40a997d3a81f6c6b28c24f1910382a3221c005

SHA512
50683dc962e09f943bcfecde86750f5070cf8463f7a20d53019e19628d84fee24b7d72f938df37ea62da20838aad3a41148994267673a2c6576d2641f7704e3c

Download Submit
C:\Windows\System\REdujaf.exe

Filesize
2.7MB

MD5
47b149b3249ef45d2243471d26934f3b

SHA1
f029d1b1fb5de20ac62f08cc8bbf2cc31d7cf425

SHA256
b4f68dbeafb2d82e82049ba54af301deea1e343cfbbd0cea285c563ddfb2fbcd

SHA512
74d9d1fa957c5fdd5f0b2b9b90721a3ff6f988786c98e6fa6cbc77683a175d81116614b5cbeac19b0d3aeebf1eac1be65e4084988200bf78480cb8b92e8c90fb

Download Submit
C:\Windows\System\SwhChVW.exe

Filesize
2.7MB

MD5
83a6a005a9a0555809b834be330c41e8

SHA1
5a54a7c85c1047b3ad12a8b8050d2d1d1f58361d

SHA256
29539d9b23780802511d5e2a6644b3fa911d6c9df8acaa4eb33a5b0bfe733f3b

SHA512
0e91150a377f25b5cbecca7a135c342104bb26ca5f0cb4e79e0e0820f0ac3937228b1cbe9592673c5309357d86160a724c2e231db92828a96bfb36385b303293

Download Submit
C:\Windows\System\TzSaIkJ.exe

Filesize
2.7MB

MD5
ac71a91bb7e0d6a1e2061bfc8ffc1f48

SHA1
68d1a023d65c83dd43e1e2d7969b14a95cd00179

SHA256
ad0c4eeb40644565102cdb1843c5df2f62636e8b59d4906c5f1f6040d7e25462

SHA512
ef1cf8ab8d3538718663560481a7a738c5393e51ebd2c66ee487b12faa81281a605868b597e3101ad1f5626d15f75ae9453b2abc57b55dda15c2f9116da275bd

Download Submit
C:\Windows\System\UxmcAja.exe

Filesize
2.7MB

MD5
0f14667ff23b4d81bcb1e4b5fa0c6304

SHA1
5bbe59737fede57c475b6698c4c6857969239eb4

SHA256
6bd6298ab084bf7bce3d2bbdcb30caecb4188df3d7bbac7649b90398da613d80

SHA512
22fbf52016559a672451a9c5799007aa3944d907d402fe79326d01b760da7c7a01bf6585fc576a52c2e28a52478b9b43bd4ad15f5e4b54ae3f1cf8e786a63bf6

Download Submit
C:\Windows\System\VYQOwBw.exe

Filesize
2.7MB

MD5
57b68ddbdfb4e83c95fa93f810d45abf

SHA1
196b0b27aefac65c133a9e62413d0973d962a0c7

SHA256
c71780a95eba9ee49dacd695f916e5796f6942037f8ab0ecf72f0e30c03d7ee2

SHA512
e4e6a158dc22b8cb67bfe2516b8e26d71303a6b3a4564a6f4c4784e11064fc9d20dc1b48fa26cf8b8d0fc7a67fea6efb9e3b83a497fdf0cb527d8efcbcd7721e

Download Submit
C:\Windows\System\VjLaSJy.exe

Filesize
2.7MB

MD5
893f1d119a2d02eb891672c8d2538f6c

SHA1
7219f198be7afeb8f163a54116fb8545826c6106

SHA256
74f91755a5bbeca2c0f9696bbaf203751d6f20f37fa33ec1158cbdfd013c5407

SHA512
b8b08b9c2a2f4c67c2aa77cbf55fd463439be9cd8fd6f3e32c60cd77edcb57b8a04afadb8807dd99a256f6cafbfa4648885ae4513e6d57303fad2b9032b7ac16

Download Submit
C:\Windows\System\aXZrKZl.exe

Filesize
2.7MB

MD5
654b0f19b21b8a9dba09b15370043326

SHA1
060786b7754514b3630495d18790647d140404ed

SHA256
2a8bed68f9e5258bab7d99883cee152519c00159bf644b64a3b9f760c11612c6

SHA512
a8931df6e0c8d7246f342f6aa482579f8e055c1fd8aa3ce79d3f55f3c31d1509f3572c65f0b34ef001b2486676e4bd7e5664efc8d9c437f7f1805e114e733d18

Download Submit
C:\Windows\System\cvkDVoH.exe

Filesize
2.7MB

MD5
9f8b12dc466c02d8b9fdcc31831c8182

SHA1
64fbdd47fe537f4334ab2b655aa6d2cf0ce58cb6

SHA256
0d0b31db4d719c5447602e20fcf826f169fab4d3a0b7c688478e593b27257506

SHA512
24d23c735d2c7b6a5f145ceb4c424836a0c72d0065ff3be9b977a59bbb68469570cb3aa5a71dd648d2403ea62771c766fb16fdcdc66b253712577a438a7d975c

Download Submit
C:\Windows\System\eDFwrdj.exe

Filesize
2.7MB

MD5
df2805845df61c12baba067aedc40154

SHA1
fa4032f1625d43fff4b785120d660bb8a53ca766

SHA256
78c8e9fcc6d47c193eec88f2609997f43647dee1e4ecff67e592542e3f42cd34

SHA512
4c06158f04ac3e87f3f5e7862e11838d12f019457093532eade1518730316747983f59d5ee052d8f8e4a1e436bd03c911fb4ecf7f8fce14877e3c96adb62ac74

Download Submit
C:\Windows\System\eYjpApq.exe

Filesize
2.7MB

MD5
6ddfa4c0fc544e5c6d523f137edafe7f

SHA1
30647de2c9722e1844c0c535a1b0bcc07b80fa4e

SHA256
033d8ce9276eb846599621d7093b4bc8e3e9d844d92102f22591d29e75b0678f

SHA512
6485467d7a2fba737d32398c83e83536da031a013e92cf4f8df61d284d938747ad984a1146624f24eba012b9407ef40a0360f6b7f4c49c9c4b4c4922b0587f03

Download Submit
C:\Windows\System\fAiNhDW.exe

Filesize
2.7MB

MD5
72226c95969740c32560b4c3eb939ff8

SHA1
2e2cd216e1ca1824bf3b925141e2a92e8f3d4efb

SHA256
6f56cf1a111b86fee35b82786b18951274fcfe36536970e56c4f5209289ba060

SHA512
3ff53be1407c7bfcb1fdf9f958bc895a39de5234bc5ada5727452a70f238edc183a1004453a0bac01b98748f2c26088b89409cdc96a81526f71d6275e14f4581

Download Submit
C:\Windows\System\iNFVjUJ.exe

Filesize
2.7MB

MD5
446214ac21e9ba7674b70b8cb6773d02

SHA1
8eb03a572611cf149029cb11c9e1c02da6234bfa

SHA256
9c913ca22051e24ea8d1431dd5c52ee232925eea31b1d81e1c6a8fea2ff68878

SHA512
749ac4633d9d1222747a03f08b8eaf950fc35c1e3728357493218782dfb77905943318059f91d3e9d0b0d38eece47a6a97dcdd96663f58116f18ca524abb8ec6

Download Submit
C:\Windows\System\keniVuZ.exe

Filesize
2.7MB

MD5
adb2f2a0388ddd27969f718d80472048

SHA1
6aa7ab9a3c17054b32bf9c01d2e1c30be779f19b

SHA256
075e3e20d9cf6c6467a9ac5776cf81a7ec07bad5f37dc38df96e81e14273e7a2

SHA512
cb400cf65e88544da986db693174da2ae427e842a7791744184366899dc4d5aea5e0660c10bd90e7cfdceff2e843bf5940e5e536b46e428a8cdcd5074cf95c8a

Download Submit
C:\Windows\System\mHIueRO.exe

Filesize
8B

MD5
c4b48f536e5c6f98e6dc71531f053db1

SHA1
e438ba6bdf0922d1cef8949afecd428dabb17044

SHA256
5abb0fbf86e73f581125720a3ff4e0fed0c0c402a5f56cf89ff70561167dcbc7

SHA512
d1016968f10c417c99a9a6ce72ee530b0b580d2ddfb1dbfef5853a685ea299ea32cdadc7937cdb0189a29161aa74d6a7d582e725170d0a3410641b811e207c2d

Download Submit
C:\Windows\System\ooDSCob.exe

Filesize
2.7MB

MD5
a300c8bbc2ba0bf3e81da7303788a76b

SHA1
c0b5686ede28f2ad45fd12c06678b35ea101eb86

SHA256
e65ea34ef536d7d74195be237b4c9a8edc0a5c854b1a033b24c5babd174be8f6

SHA512
8ec6febe30f068cb9cc91e145407c64395eac8cc953b79e6b3997c31005c4f6f0043f6982001ad77c06b382557a6119b3939fb2c1483a7c99828176a8bc7d47d

Download Submit
C:\Windows\System\peczqWG.exe

Filesize
2.7MB

MD5
bb34dfee12e001b18c9c24d7e6890c02

SHA1
328a2df19f13c928b9a79f4fad53f09138b04ca9

SHA256
bdbe9d2f7fabe5ccd7cec75923f83b29d91372759751973d5bbedecdcb7b1b3a

SHA512
5ddc7d2c858d823bc9b05af2527cf8d9dd51ecb5f31a712eced2845aa84e661b042e70942c8c41a6e777b76ddcf03fcc618adc844b5e5beca53ee2f2d871f251

Download Submit
C:\Windows\System\qHtxwkS.exe

Filesize
2.7MB

MD5
c58ef01a1ee2010b762954d87af68ca9

SHA1
391c1e8111eb74652eb2846be1eb06169a79e947

SHA256
907fefc5de894dff7e17a66f1b49170428a0a34876cbc4435bfcfe469c80696b

SHA512
1fce3bf04f7585480b26a724ba1f334188a92123afc5f81c0700f9a0ca37a40b157ad83180ec13eaff33c996edd49a07139b131bfd1d03486fdde4b27d6566c3

Download Submit
C:\Windows\System\toXknZq.exe

Filesize
2.7MB

MD5
91d753db7b6f9d29f93732a957294855

SHA1
b212ffefe803ae3d228910ef049831adbf92178c

SHA256
0103df474f10fda7bba540349a4c39066481ab80380d1d770f98da058e123171

SHA512
b9d1231a51c3f7c9317b3d78004b7b89a2351e5a928b8733a5527a21bf77bcb4ae494d838e2207ab9cd3429b18e43d62c55a44003fc74577388e0e8e5123a572

Download Submit
C:\Windows\System\ubMhNbh.exe

Filesize
2.7MB

MD5
3ab6ad8c6b92288182a35eff869d2037

SHA1
06545fd5eb867648b7528a2effe99b35be5057d9

SHA256
f656cef03909f94fee7cfe50e40b94068f1ca2f39b7866a50629c27809e3ffba

SHA512
d61adbf238d61d164ab8449a5123a3de08a0f0b961114afcd713782b0af9edd3b74f6ffbf7b963f16f16af038b95b1c864a2ffc9f36645f8a81ab03d47ef379a

Download Submit
C:\Windows\System\vGbjpMw.exe

Filesize
2.7MB

MD5
394b605f67da44667c67a258db570579

SHA1
aca5bd893bfe91a5d0b3d8c0591f5be67512dc45

SHA256
abfc2839853d0134e90420ad7f576ec8c2c0e196cde727a5a5009d46d14ba248

SHA512
ea995a0d90cf83a2cd8c3e1b84c72682317158880b5f1b162675e44b605b4b6a8fed1830a936acfffbe5c6a7430e46303ba82579226335c19db158245c235875

Download Submit
memory/544-166-0x00007FF674E30000-0x00007FF675222000-memory.dmp

Filesize
3.9MB

Download
memory/848-1-0x00000219DEA80000-0x00000219DEA90000-memory.dmp

Filesize
64KB

Download
memory/848-1116-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp

Filesize
3.9MB

Download
memory/848-0-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp

Filesize
3.9MB

Download
memory/848-3781-0x00007FF7DAAD0000-0x00007FF7DAEC2000-memory.dmp

Filesize
3.9MB

Download
memory/1096-3274-0x00007FF704720000-0x00007FF704B12000-memory.dmp

Filesize
3.9MB

Download
memory/1096-298-0x00007FF704720000-0x00007FF704B12000-memory.dmp

Filesize
3.9MB

Download
memory/1364-235-0x00007FF79BBC0000-0x00007FF79BFB2000-memory.dmp

Filesize
3.9MB

Download
memory/1364-3306-0x00007FF79BBC0000-0x00007FF79BFB2000-memory.dmp

Filesize
3.9MB

Download
memory/1368-3262-0x00007FF71CD80000-0x00007FF71D172000-memory.dmp

Filesize
3.9MB

Download
memory/1368-265-0x00007FF71CD80000-0x00007FF71D172000-memory.dmp

Filesize
3.9MB

Download
memory/1784-297-0x00007FF6994F0000-0x00007FF6998E2000-memory.dmp

Filesize
3.9MB

Download
memory/1784-3337-0x00007FF6994F0000-0x00007FF6998E2000-memory.dmp

Filesize
3.9MB

Download
memory/1876-301-0x00007FF773B20000-0x00007FF773F12000-memory.dmp

Filesize
3.9MB

Download
memory/1876-3220-0x00007FF773B20000-0x00007FF773F12000-memory.dmp

Filesize
3.9MB

Download
memory/1972-295-0x00007FF731EE0000-0x00007FF7322D2000-memory.dmp

Filesize
3.9MB

Download
memory/1972-3266-0x00007FF731EE0000-0x00007FF7322D2000-memory.dmp

Filesize
3.9MB

Download
memory/2264-181-0x00007FF785B60000-0x00007FF785F52000-memory.dmp

Filesize
3.9MB

Download
memory/2280-112-0x00007FF662DF0000-0x00007FF6631E2000-memory.dmp

Filesize
3.9MB

Download
memory/2300-3303-0x00007FF6B4C20000-0x00007FF6B5012000-memory.dmp

Filesize
3.9MB

Download
memory/2300-222-0x00007FF6B4C20000-0x00007FF6B5012000-memory.dmp

Filesize
3.9MB

Download
memory/2656-3326-0x00007FF7D29B0000-0x00007FF7D2DA2000-memory.dmp

Filesize
3.9MB

Download
memory/2656-290-0x00007FF7D29B0000-0x00007FF7D2DA2000-memory.dmp

Filesize
3.9MB

Download
memory/3092-302-0x00007FF648490000-0x00007FF648882000-memory.dmp

Filesize
3.9MB

Download
memory/3092-3254-0x00007FF648490000-0x00007FF648882000-memory.dmp

Filesize
3.9MB

Download
memory/3476-257-0x00007FF747A40000-0x00007FF747E32000-memory.dmp

Filesize
3.9MB

Download
memory/3484-287-0x00007FF61AD60000-0x00007FF61B152000-memory.dmp

Filesize
3.9MB

Download
memory/3528-93-0x00007FF78EA70000-0x00007FF78EE62000-memory.dmp

Filesize
3.9MB

Download
memory/3644-3315-0x00007FF603D60000-0x00007FF604152000-memory.dmp

Filesize
3.9MB

Download
memory/3644-288-0x00007FF603D60000-0x00007FF604152000-memory.dmp

Filesize
3.9MB

Download
memory/3688-3234-0x00007FF6EFC00000-0x00007FF6EFFF2000-memory.dmp

Filesize
3.9MB

Download
memory/3688-300-0x00007FF6EFC00000-0x00007FF6EFFF2000-memory.dmp

Filesize
3.9MB

Download
memory/3756-281-0x00007FF6F2430000-0x00007FF6F2822000-memory.dmp

Filesize
3.9MB

Download
memory/3812-209-0x00007FF79B4F0000-0x00007FF79B8E2000-memory.dmp

Filesize
3.9MB

Download
memory/3812-3212-0x00007FF79B4F0000-0x00007FF79B8E2000-memory.dmp

Filesize
3.9MB

Download
memory/3928-75-0x00007FF7616A0000-0x00007FF761A92000-memory.dmp

Filesize
3.9MB

Download
memory/3940-138-0x00007FF7E6440000-0x00007FF7E6832000-memory.dmp

Filesize
3.9MB

Download
memory/4240-299-0x00007FFDC4010000-0x00007FFDC4AD1000-memory.dmp

Filesize
10.8MB

Download
memory/4240-99-0x000001B92E270000-0x000001B92E292000-memory.dmp

Filesize
136KB

Download
memory/4240-2055-0x00007FFDC4010000-0x00007FFDC4AD1000-memory.dmp

Filesize
10.8MB

Download
memory/4240-43-0x00007FFDC4010000-0x00007FFDC4AD1000-memory.dmp

Filesize
10.8MB

Download
memory/4240-658-0x000001B92EE70000-0x000001B92F616000-memory.dmp

Filesize
7.6MB

Download
memory/4240-2477-0x00007FFDC4010000-0x00007FFDC4AD1000-memory.dmp

Filesize
10.8MB

Download
memory/4240-1996-0x00007FFDC4013000-0x00007FFDC4015000-memory.dmp

Filesize
8KB

Download
memory/4240-3-0x00007FFDC4013000-0x00007FFDC4015000-memory.dmp

Filesize
8KB

Download
memory/4416-55-0x00007FF779410000-0x00007FF779802000-memory.dmp

Filesize
3.9MB

Download
memory/4460-3330-0x00007FF73B820000-0x00007FF73BC12000-memory.dmp

Filesize
3.9MB

Download
memory/4460-304-0x00007FF73B820000-0x00007FF73BC12000-memory.dmp

Filesize
3.9MB

Download
memory/5028-303-0x00007FF652D20000-0x00007FF653112000-memory.dmp

Filesize
3.9MB

Download
memory/5028-3250-0x00007FF652D20000-0x00007FF653112000-memory.dmp

Filesize
3.9MB

Download