xmrig | 88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85

Analysis

max time kernel
101s
max time network
103s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
25-01-2025 10:54

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
Size

1.6MB
MD5

09f71cef73eb784d65401c0f4e1fc6e0
SHA1

8a5e7d129a163416e48e1425ac189f16325222c7
SHA256

88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85
SHA512

d5591ff49e72ad8ee0522d51da550ab9898007ddb347ec4f63eefb4bb7a0dee6dac1cb007c76bdb4d0f37ce80dd8dd2567ed495ecee9a01ff032518a965fcf08
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XIHbAYhbc8lFad+tszICTJKIRHGJ6679Dx:knw9oUUEEDlGUJ8Y9c87Me1IRHj+

Score

10^/10

xmrig miner upx

Malware Config

Signatures

Xmrig family
xmrig
xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

resource	yara_rule
behavioral2/memory/3260-207-0x00007FF738360000-0x00007FF738751000-memory.dmp	xmrig
behavioral2/memory/4320-226-0x00007FF6310B0000-0x00007FF6314A1000-memory.dmp	xmrig
behavioral2/memory/4592-241-0x00007FF669030000-0x00007FF669421000-memory.dmp	xmrig
behavioral2/memory/1960-239-0x00007FF628500000-0x00007FF6288F1000-memory.dmp	xmrig
behavioral2/memory/4708-238-0x00007FF789960000-0x00007FF789D51000-memory.dmp	xmrig
behavioral2/memory/5084-236-0x00007FF7D74E0000-0x00007FF7D78D1000-memory.dmp	xmrig
behavioral2/memory/1472-233-0x00007FF710740000-0x00007FF710B31000-memory.dmp	xmrig
behavioral2/memory/2516-231-0x00007FF6F1B40000-0x00007FF6F1F31000-memory.dmp	xmrig
behavioral2/memory/684-229-0x00007FF70CC40000-0x00007FF70D031000-memory.dmp	xmrig
behavioral2/memory/1452-228-0x00007FF7F8410000-0x00007FF7F8801000-memory.dmp	xmrig
behavioral2/memory/3020-225-0x00007FF7CA8D0000-0x00007FF7CACC1000-memory.dmp	xmrig
behavioral2/memory/4212-223-0x00007FF654910000-0x00007FF654D01000-memory.dmp	xmrig
behavioral2/memory/1760-222-0x00007FF61D510000-0x00007FF61D901000-memory.dmp	xmrig
behavioral2/memory/4220-220-0x00007FF6446C0000-0x00007FF644AB1000-memory.dmp	xmrig
behavioral2/memory/4576-218-0x00007FF6E0B50000-0x00007FF6E0F41000-memory.dmp	xmrig
behavioral2/memory/4572-215-0x00007FF6E69A0000-0x00007FF6E6D91000-memory.dmp	xmrig
behavioral2/memory/4812-206-0x00007FF7B6850000-0x00007FF7B6C41000-memory.dmp	xmrig
behavioral2/memory/888-202-0x00007FF7CCE30000-0x00007FF7CD221000-memory.dmp	xmrig
behavioral2/memory/3704-184-0x00007FF734890000-0x00007FF734C81000-memory.dmp	xmrig
behavioral2/memory/3716-161-0x00007FF7C9D60000-0x00007FF7CA151000-memory.dmp	xmrig
behavioral2/memory/628-798-0x00007FF667DC0000-0x00007FF6681B1000-memory.dmp	xmrig
behavioral2/memory/2316-960-0x00007FF709210000-0x00007FF709601000-memory.dmp	xmrig
behavioral2/memory/4264-1090-0x00007FF69CE40000-0x00007FF69D231000-memory.dmp	xmrig
behavioral2/memory/2364-1087-0x00007FF7E72B0000-0x00007FF7E76A1000-memory.dmp	xmrig
behavioral2/memory/900-1335-0x00007FF697390000-0x00007FF697781000-memory.dmp	xmrig
behavioral2/memory/2316-2159-0x00007FF709210000-0x00007FF709601000-memory.dmp	xmrig
behavioral2/memory/2364-2161-0x00007FF7E72B0000-0x00007FF7E76A1000-memory.dmp	xmrig
behavioral2/memory/4264-2163-0x00007FF69CE40000-0x00007FF69D231000-memory.dmp	xmrig
behavioral2/memory/3716-2169-0x00007FF7C9D60000-0x00007FF7CA151000-memory.dmp	xmrig
behavioral2/memory/888-2183-0x00007FF7CCE30000-0x00007FF7CD221000-memory.dmp	xmrig
behavioral2/memory/4576-2185-0x00007FF6E0B50000-0x00007FF6E0F41000-memory.dmp	xmrig
behavioral2/memory/4812-2201-0x00007FF7B6850000-0x00007FF7B6C41000-memory.dmp	xmrig
behavioral2/memory/1472-2216-0x00007FF710740000-0x00007FF710B31000-memory.dmp	xmrig
behavioral2/memory/900-2251-0x00007FF697390000-0x00007FF697781000-memory.dmp	xmrig
behavioral2/memory/4220-2214-0x00007FF6446C0000-0x00007FF644AB1000-memory.dmp	xmrig
behavioral2/memory/3020-2211-0x00007FF7CA8D0000-0x00007FF7CACC1000-memory.dmp	xmrig
behavioral2/memory/4572-2209-0x00007FF6E69A0000-0x00007FF6E6D91000-memory.dmp	xmrig
behavioral2/memory/1960-2207-0x00007FF628500000-0x00007FF6288F1000-memory.dmp	xmrig
behavioral2/memory/684-2205-0x00007FF70CC40000-0x00007FF70D031000-memory.dmp	xmrig
behavioral2/memory/4708-2198-0x00007FF789960000-0x00007FF789D51000-memory.dmp	xmrig
behavioral2/memory/1452-2219-0x00007FF7F8410000-0x00007FF7F8801000-memory.dmp	xmrig
behavioral2/memory/2516-2193-0x00007FF6F1B40000-0x00007FF6F1F31000-memory.dmp	xmrig
behavioral2/memory/1760-2195-0x00007FF61D510000-0x00007FF61D901000-memory.dmp	xmrig
behavioral2/memory/4592-2175-0x00007FF669030000-0x00007FF669421000-memory.dmp	xmrig
behavioral2/memory/3704-2173-0x00007FF734890000-0x00007FF734C81000-memory.dmp	xmrig
behavioral2/memory/4212-2171-0x00007FF654910000-0x00007FF654D01000-memory.dmp	xmrig
behavioral2/memory/5084-2181-0x00007FF7D74E0000-0x00007FF7D78D1000-memory.dmp	xmrig
behavioral2/memory/3260-2177-0x00007FF738360000-0x00007FF738751000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2316	JpTqVXl.exe
2364	rmFNYzI.exe
4264	JTMzxsD.exe
3716	rqtJGpR.exe
3704	jObCKGO.exe
888	wGYvGHL.exe
900	sPgkiib.exe
4812	yQmMdff.exe
3260	TTgioKJ.exe
4572	BLlnKDv.exe
4576	ctBEfWW.exe
4220	TJutuTb.exe
1760	eENAQdi.exe
4212	ZdYDrnC.exe
3020	UrTJqZb.exe
1452	XZwafdd.exe
4320	TbPFVLU.exe
684	PVlshjH.exe
2516	UuYAGeq.exe
1472	atfIqUI.exe
5084	tYLvZpt.exe
4708	SLTcqVu.exe
2560	xrAgKrY.exe
1960	BLUdSHj.exe
4592	AIHYgct.exe
3036	JhzZXKM.exe
3880	aQVzQBa.exe
3748	OSQKsmc.exe
1932	eSavEyz.exe
864	NkxMavJ.exe
4944	bxuSwMc.exe
2112	DWuyNKZ.exe
2616	dEMNgjS.exe
4616	gepRVYv.exe
4984	TUuYNKk.exe
4396	vZXrMbC.exe
2284	hxxsxlI.exe
372	iYElkNw.exe
4444	iZYxTbf.exe
3164	QVUwDxP.exe
3460	OMrdzWZ.exe
3792	YXZWRzC.exe
4036	RPWRAxs.exe
756	CsGKsmW.exe
2936	dgloXld.exe
1596	CDyXRPJ.exe
2972	PGaZtwH.exe
4552	ofScvTW.exe
2868	jnAPaln.exe
1996	laQRdpo.exe
2664	QLnAeuT.exe
5012	BYmDQQu.exe
3124	YvLBvgn.exe
4868	UPXpmCz.exe
5088	VdfHJiB.exe
4724	JeHbrHA.exe
1556	iiLqbDl.exe
1980	oTsGQcC.exe
2344	gqmPrzy.exe
4236	XxiCarK.exe
916	rQEYKgg.exe
3916	fmxRWTb.exe
1636	DWcIdzo.exe
1724	myuXqqB.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\clLyiid.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\xXoCecH.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\TJqDlVK.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\nuneulp.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\TVaJCVV.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\ERcclhA.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\CQvpDBB.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\yBfcvom.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\wKXLtHw.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\RTCOTPn.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\jcNBMFI.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\WhtaDXD.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\ctQFyDw.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\NkxMavJ.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\VSFMfiU.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\NRikjAj.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\oQKQcnp.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\LFpTpUY.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\PxqShNl.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\CsGKsmW.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\LvadMRj.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\NyUtRdH.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\FsyTLKs.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\zndFacw.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\OyrrslU.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\barjVAg.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\RcatYHu.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\BaoDdut.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\hgwVtJQ.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\VEfMpqK.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\YXZWRzC.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\UCKZCvN.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\HssBebS.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\RnhqUtX.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\IeTqjni.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\ThaNGNn.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\gepRVYv.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\awATxSS.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\zdGCDux.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\XLiMglS.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\RPINJHA.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\znFBbiS.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\qwupyoD.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\DWcIdzo.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\vgSagyI.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\EgspKjm.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\oIcJVcu.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\rNEIcIE.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\phrwBQS.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\pcYRnAb.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\WCFARnB.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\YeFaVXS.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\yHUEhEt.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\mOlGJhr.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\IClQTLr.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\JpJXVbn.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\RomkAxx.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\wYarsSV.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\DOzlJzN.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\nzergTA.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\OTrSMJA.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\UjpNCjD.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\ymKBHrP.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
File created	C:\Windows\System32\nrpcQjC.exe	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/628-0-0x00007FF667DC0000-0x00007FF6681B1000-memory.dmp	upx
behavioral2/files/0x000e000000023a3a-4.dat	upx
behavioral2/memory/2316-7-0x00007FF709210000-0x00007FF709601000-memory.dmp	upx
behavioral2/files/0x000d000000023a68-12.dat	upx
behavioral2/memory/4264-15-0x00007FF69CE40000-0x00007FF69D231000-memory.dmp	upx
behavioral2/files/0x000d000000023a69-18.dat	upx
behavioral2/files/0x000a000000023b7c-153.dat	upx
behavioral2/files/0x000a000000023b7e-159.dat	upx
behavioral2/files/0x000a000000023b94-176.dat	upx
behavioral2/memory/3260-207-0x00007FF738360000-0x00007FF738751000-memory.dmp	upx
behavioral2/memory/4320-226-0x00007FF6310B0000-0x00007FF6314A1000-memory.dmp	upx
behavioral2/memory/4592-241-0x00007FF669030000-0x00007FF669421000-memory.dmp	upx
behavioral2/memory/1960-239-0x00007FF628500000-0x00007FF6288F1000-memory.dmp	upx
behavioral2/memory/4708-238-0x00007FF789960000-0x00007FF789D51000-memory.dmp	upx
behavioral2/memory/5084-236-0x00007FF7D74E0000-0x00007FF7D78D1000-memory.dmp	upx
behavioral2/memory/1472-233-0x00007FF710740000-0x00007FF710B31000-memory.dmp	upx
behavioral2/memory/2516-231-0x00007FF6F1B40000-0x00007FF6F1F31000-memory.dmp	upx
behavioral2/memory/684-229-0x00007FF70CC40000-0x00007FF70D031000-memory.dmp	upx
behavioral2/memory/1452-228-0x00007FF7F8410000-0x00007FF7F8801000-memory.dmp	upx
behavioral2/memory/3020-225-0x00007FF7CA8D0000-0x00007FF7CACC1000-memory.dmp	upx
behavioral2/memory/4212-223-0x00007FF654910000-0x00007FF654D01000-memory.dmp	upx
behavioral2/memory/1760-222-0x00007FF61D510000-0x00007FF61D901000-memory.dmp	upx
behavioral2/memory/4220-220-0x00007FF6446C0000-0x00007FF644AB1000-memory.dmp	upx
behavioral2/memory/4576-218-0x00007FF6E0B50000-0x00007FF6E0F41000-memory.dmp	upx
behavioral2/memory/4572-215-0x00007FF6E69A0000-0x00007FF6E6D91000-memory.dmp	upx
behavioral2/memory/4812-206-0x00007FF7B6850000-0x00007FF7B6C41000-memory.dmp	upx
behavioral2/memory/900-204-0x00007FF697390000-0x00007FF697781000-memory.dmp	upx
behavioral2/memory/888-202-0x00007FF7CCE30000-0x00007FF7CD221000-memory.dmp	upx
behavioral2/memory/3704-184-0x00007FF734890000-0x00007FF734C81000-memory.dmp	upx
behavioral2/files/0x000a000000023b96-164.dat	upx
behavioral2/files/0x000e000000023a3b-160.dat	upx
behavioral2/files/0x000a000000023b91-158.dat	upx
behavioral2/files/0x000a000000023b7f-157.dat	upx
behavioral2/files/0x0008000000023ad5-156.dat	upx
behavioral2/files/0x000d000000023a6a-154.dat	upx
behavioral2/files/0x000a000000023b88-152.dat	upx
behavioral2/files/0x000a000000023b83-147.dat	upx
behavioral2/files/0x000c000000023aa9-146.dat	upx
behavioral2/files/0x000f000000023aa7-145.dat	upx
behavioral2/files/0x0008000000023ad4-144.dat	upx
behavioral2/files/0x000a000000023b87-143.dat	upx
behavioral2/files/0x000a000000023b97-142.dat	upx
behavioral2/memory/3716-161-0x00007FF7C9D60000-0x00007FF7CA151000-memory.dmp	upx
behavioral2/files/0x000a000000023b95-137.dat	upx
behavioral2/files/0x000a000000023b93-136.dat	upx
behavioral2/files/0x000a000000023b92-134.dat	upx
behavioral2/files/0x000a000000023b90-133.dat	upx
behavioral2/files/0x000a000000023b8f-131.dat	upx
behavioral2/files/0x000a000000023b8d-130.dat	upx
behavioral2/files/0x000a000000023b8e-129.dat	upx
behavioral2/files/0x000a000000023b8c-128.dat	upx
behavioral2/files/0x000a000000023b8b-127.dat	upx
behavioral2/files/0x000a000000023b8a-126.dat	upx
behavioral2/files/0x000a000000023b89-125.dat	upx
behavioral2/files/0x000a000000023b84-121.dat	upx
behavioral2/files/0x000a000000023b86-122.dat	upx
behavioral2/files/0x000a000000023b85-120.dat	upx
behavioral2/files/0x000a000000023b81-118.dat	upx
behavioral2/files/0x000a000000023b82-117.dat	upx
behavioral2/files/0x000a000000023b80-116.dat	upx
behavioral2/files/0x000a000000023b7d-113.dat	upx
behavioral2/files/0x000c000000023b7b-111.dat	upx
behavioral2/files/0x0008000000023ace-108.dat	upx
behavioral2/files/0x000c000000023acd-107.dat	upx

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	14116	dwm.exe
Token: SeChangeNotifyPrivilege	14116	dwm.exe
Token: 33	14116	dwm.exe
Token: SeIncBasePriorityPrivilege	14116	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 628 wrote to memory of 2316	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	85
PID 628 wrote to memory of 2316	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	85
PID 628 wrote to memory of 2364	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	86
PID 628 wrote to memory of 2364	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	86
PID 628 wrote to memory of 4264	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	87
PID 628 wrote to memory of 4264	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	87
PID 628 wrote to memory of 3716	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	88
PID 628 wrote to memory of 3716	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	88
PID 628 wrote to memory of 3704	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	89
PID 628 wrote to memory of 3704	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	89
PID 628 wrote to memory of 888	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	90
PID 628 wrote to memory of 888	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	90
PID 628 wrote to memory of 900	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	91
PID 628 wrote to memory of 900	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	91
PID 628 wrote to memory of 4812	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	92
PID 628 wrote to memory of 4812	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	92
PID 628 wrote to memory of 3260	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	93
PID 628 wrote to memory of 3260	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	93
PID 628 wrote to memory of 4572	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	94
PID 628 wrote to memory of 4572	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	94
PID 628 wrote to memory of 4576	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	95
PID 628 wrote to memory of 4576	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	95
PID 628 wrote to memory of 4220	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	96
PID 628 wrote to memory of 4220	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	96
PID 628 wrote to memory of 1760	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	97
PID 628 wrote to memory of 1760	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	97
PID 628 wrote to memory of 4212	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	98
PID 628 wrote to memory of 4212	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	98
PID 628 wrote to memory of 3020	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	99
PID 628 wrote to memory of 3020	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	99
PID 628 wrote to memory of 1452	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	100
PID 628 wrote to memory of 1452	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	100
PID 628 wrote to memory of 4320	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	101
PID 628 wrote to memory of 4320	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	101
PID 628 wrote to memory of 684	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	102
PID 628 wrote to memory of 684	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	102
PID 628 wrote to memory of 1472	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	103
PID 628 wrote to memory of 1472	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	103
PID 628 wrote to memory of 2516	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	104
PID 628 wrote to memory of 2516	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	104
PID 628 wrote to memory of 5084	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	105
PID 628 wrote to memory of 5084	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	105
PID 628 wrote to memory of 2560	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	106
PID 628 wrote to memory of 2560	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	106
PID 628 wrote to memory of 4708	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	107
PID 628 wrote to memory of 4708	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	107
PID 628 wrote to memory of 1960	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	108
PID 628 wrote to memory of 1960	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	108
PID 628 wrote to memory of 4592	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	109
PID 628 wrote to memory of 4592	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	109
PID 628 wrote to memory of 3036	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	110
PID 628 wrote to memory of 3036	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	110
PID 628 wrote to memory of 3880	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	111
PID 628 wrote to memory of 3880	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	111
PID 628 wrote to memory of 3748	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	112
PID 628 wrote to memory of 3748	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	112
PID 628 wrote to memory of 1932	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	113
PID 628 wrote to memory of 1932	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	113
PID 628 wrote to memory of 864	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	114
PID 628 wrote to memory of 864	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	114
PID 628 wrote to memory of 2112	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	115
PID 628 wrote to memory of 2112	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	115
PID 628 wrote to memory of 4944	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	116
PID 628 wrote to memory of 4944	628	88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe	116

C:\Users\Admin\AppData\Local\Temp\88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe
"C:\Users\Admin\AppData\Local\Temp\88454209a1bf814d2d94844dcef30acc12a7f4cc96a5b23e8b06e3fbcc73cf85N.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:628
- C:\Windows\System32\JpTqVXl.exe
  C:\Windows\System32\JpTqVXl.exe
  2⤵
  - Executes dropped EXE
  PID:2316
- C:\Windows\System32\rmFNYzI.exe
  C:\Windows\System32\rmFNYzI.exe
  2⤵
  - Executes dropped EXE
  PID:2364
- C:\Windows\System32\JTMzxsD.exe
  C:\Windows\System32\JTMzxsD.exe
  2⤵
  - Executes dropped EXE
  PID:4264
- C:\Windows\System32\rqtJGpR.exe
  C:\Windows\System32\rqtJGpR.exe
  2⤵
  - Executes dropped EXE
  PID:3716
- C:\Windows\System32\jObCKGO.exe
  C:\Windows\System32\jObCKGO.exe
  2⤵
  - Executes dropped EXE
  PID:3704
- C:\Windows\System32\wGYvGHL.exe
  C:\Windows\System32\wGYvGHL.exe
  2⤵
  - Executes dropped EXE
  PID:888
- C:\Windows\System32\sPgkiib.exe
  C:\Windows\System32\sPgkiib.exe
  2⤵
  - Executes dropped EXE
  PID:900
- C:\Windows\System32\yQmMdff.exe
  C:\Windows\System32\yQmMdff.exe
  2⤵
  - Executes dropped EXE
  PID:4812
- C:\Windows\System32\TTgioKJ.exe
  C:\Windows\System32\TTgioKJ.exe
  2⤵
  - Executes dropped EXE
  PID:3260
- C:\Windows\System32\BLlnKDv.exe
  C:\Windows\System32\BLlnKDv.exe
  2⤵
  - Executes dropped EXE
  PID:4572
- C:\Windows\System32\ctBEfWW.exe
  C:\Windows\System32\ctBEfWW.exe
  2⤵
  - Executes dropped EXE
  PID:4576
- C:\Windows\System32\TJutuTb.exe
  C:\Windows\System32\TJutuTb.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\eENAQdi.exe
  C:\Windows\System32\eENAQdi.exe
  2⤵
  - Executes dropped EXE
  PID:1760
- C:\Windows\System32\ZdYDrnC.exe
  C:\Windows\System32\ZdYDrnC.exe
  2⤵
  - Executes dropped EXE
  PID:4212
- C:\Windows\System32\UrTJqZb.exe
  C:\Windows\System32\UrTJqZb.exe
  2⤵
  - Executes dropped EXE
  PID:3020
- C:\Windows\System32\XZwafdd.exe
  C:\Windows\System32\XZwafdd.exe
  2⤵
  - Executes dropped EXE
  PID:1452
- C:\Windows\System32\TbPFVLU.exe
  C:\Windows\System32\TbPFVLU.exe
  2⤵
  - Executes dropped EXE
  PID:4320
- C:\Windows\System32\PVlshjH.exe
  C:\Windows\System32\PVlshjH.exe
  2⤵
  - Executes dropped EXE
  PID:684
- C:\Windows\System32\atfIqUI.exe
  C:\Windows\System32\atfIqUI.exe
  2⤵
  - Executes dropped EXE
  PID:1472
- C:\Windows\System32\UuYAGeq.exe
  C:\Windows\System32\UuYAGeq.exe
  2⤵
  - Executes dropped EXE
  PID:2516
- C:\Windows\System32\tYLvZpt.exe
  C:\Windows\System32\tYLvZpt.exe
  2⤵
  - Executes dropped EXE
  PID:5084
- C:\Windows\System32\xrAgKrY.exe
  C:\Windows\System32\xrAgKrY.exe
  2⤵
  - Executes dropped EXE
  PID:2560
- C:\Windows\System32\SLTcqVu.exe
  C:\Windows\System32\SLTcqVu.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\BLUdSHj.exe
  C:\Windows\System32\BLUdSHj.exe
  2⤵
  - Executes dropped EXE
  PID:1960
- C:\Windows\System32\AIHYgct.exe
  C:\Windows\System32\AIHYgct.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\JhzZXKM.exe
  C:\Windows\System32\JhzZXKM.exe
  2⤵
  - Executes dropped EXE
  PID:3036
- C:\Windows\System32\aQVzQBa.exe
  C:\Windows\System32\aQVzQBa.exe
  2⤵
  - Executes dropped EXE
  PID:3880
- C:\Windows\System32\OSQKsmc.exe
  C:\Windows\System32\OSQKsmc.exe
  2⤵
  - Executes dropped EXE
  PID:3748
- C:\Windows\System32\eSavEyz.exe
  C:\Windows\System32\eSavEyz.exe
  2⤵
  - Executes dropped EXE
  PID:1932
- C:\Windows\System32\NkxMavJ.exe
  C:\Windows\System32\NkxMavJ.exe
  2⤵
  - Executes dropped EXE
  PID:864
- C:\Windows\System32\DWuyNKZ.exe
  C:\Windows\System32\DWuyNKZ.exe
  2⤵
  - Executes dropped EXE
  PID:2112
- C:\Windows\System32\bxuSwMc.exe
  C:\Windows\System32\bxuSwMc.exe
  2⤵
  - Executes dropped EXE
  PID:4944
- C:\Windows\System32\dEMNgjS.exe
  C:\Windows\System32\dEMNgjS.exe
  2⤵
  - Executes dropped EXE
  PID:2616
- C:\Windows\System32\TUuYNKk.exe
  C:\Windows\System32\TUuYNKk.exe
  2⤵
  - Executes dropped EXE
  PID:4984
- C:\Windows\System32\gepRVYv.exe
  C:\Windows\System32\gepRVYv.exe
  2⤵
  - Executes dropped EXE
  PID:4616
- C:\Windows\System32\vZXrMbC.exe
  C:\Windows\System32\vZXrMbC.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\hxxsxlI.exe
  C:\Windows\System32\hxxsxlI.exe
  2⤵
  - Executes dropped EXE
  PID:2284
- C:\Windows\System32\iYElkNw.exe
  C:\Windows\System32\iYElkNw.exe
  2⤵
  - Executes dropped EXE
  PID:372
- C:\Windows\System32\iZYxTbf.exe
  C:\Windows\System32\iZYxTbf.exe
  2⤵
  - Executes dropped EXE
  PID:4444
- C:\Windows\System32\QVUwDxP.exe
  C:\Windows\System32\QVUwDxP.exe
  2⤵
  - Executes dropped EXE
  PID:3164
- C:\Windows\System32\OMrdzWZ.exe
  C:\Windows\System32\OMrdzWZ.exe
  2⤵
  - Executes dropped EXE
  PID:3460
- C:\Windows\System32\YXZWRzC.exe
  C:\Windows\System32\YXZWRzC.exe
  2⤵
  - Executes dropped EXE
  PID:3792
- C:\Windows\System32\CsGKsmW.exe
  C:\Windows\System32\CsGKsmW.exe
  2⤵
  - Executes dropped EXE
  PID:756
- C:\Windows\System32\RPWRAxs.exe
  C:\Windows\System32\RPWRAxs.exe
  2⤵
  - Executes dropped EXE
  PID:4036
- C:\Windows\System32\dgloXld.exe
  C:\Windows\System32\dgloXld.exe
  2⤵
  - Executes dropped EXE
  PID:2936
- C:\Windows\System32\CDyXRPJ.exe
  C:\Windows\System32\CDyXRPJ.exe
  2⤵
  - Executes dropped EXE
  PID:1596
- C:\Windows\System32\PGaZtwH.exe
  C:\Windows\System32\PGaZtwH.exe
  2⤵
  - Executes dropped EXE
  PID:2972
- C:\Windows\System32\ofScvTW.exe
  C:\Windows\System32\ofScvTW.exe
  2⤵
  - Executes dropped EXE
  PID:4552
- C:\Windows\System32\jnAPaln.exe
  C:\Windows\System32\jnAPaln.exe
  2⤵
  - Executes dropped EXE
  PID:2868
- C:\Windows\System32\laQRdpo.exe
  C:\Windows\System32\laQRdpo.exe
  2⤵
  - Executes dropped EXE
  PID:1996
- C:\Windows\System32\QLnAeuT.exe
  C:\Windows\System32\QLnAeuT.exe
  2⤵
  - Executes dropped EXE
  PID:2664
- C:\Windows\System32\BYmDQQu.exe
  C:\Windows\System32\BYmDQQu.exe
  2⤵
  - Executes dropped EXE
  PID:5012
- C:\Windows\System32\YvLBvgn.exe
  C:\Windows\System32\YvLBvgn.exe
  2⤵
  - Executes dropped EXE
  PID:3124
- C:\Windows\System32\UPXpmCz.exe
  C:\Windows\System32\UPXpmCz.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\VdfHJiB.exe
  C:\Windows\System32\VdfHJiB.exe
  2⤵
  - Executes dropped EXE
  PID:5088
- C:\Windows\System32\JeHbrHA.exe
  C:\Windows\System32\JeHbrHA.exe
  2⤵
  - Executes dropped EXE
  PID:4724
- C:\Windows\System32\iiLqbDl.exe
  C:\Windows\System32\iiLqbDl.exe
  2⤵
  - Executes dropped EXE
  PID:1556
- C:\Windows\System32\oTsGQcC.exe
  C:\Windows\System32\oTsGQcC.exe
  2⤵
  - Executes dropped EXE
  PID:1980
- C:\Windows\System32\gqmPrzy.exe
  C:\Windows\System32\gqmPrzy.exe
  2⤵
  - Executes dropped EXE
  PID:2344
- C:\Windows\System32\XxiCarK.exe
  C:\Windows\System32\XxiCarK.exe
  2⤵
  - Executes dropped EXE
  PID:4236
- C:\Windows\System32\rQEYKgg.exe
  C:\Windows\System32\rQEYKgg.exe
  2⤵
  - Executes dropped EXE
  PID:916
- C:\Windows\System32\fmxRWTb.exe
  C:\Windows\System32\fmxRWTb.exe
  2⤵
  - Executes dropped EXE
  PID:3916
- C:\Windows\System32\DWcIdzo.exe
  C:\Windows\System32\DWcIdzo.exe
  2⤵
  - Executes dropped EXE
  PID:1636
- C:\Windows\System32\myuXqqB.exe
  C:\Windows\System32\myuXqqB.exe
  2⤵
  - Executes dropped EXE
  PID:1724
- C:\Windows\System32\DaVroYt.exe
  C:\Windows\System32\DaVroYt.exe
  2⤵
  PID:5080
- C:\Windows\System32\bcgMVmw.exe
  C:\Windows\System32\bcgMVmw.exe
  2⤵
  PID:4484
- C:\Windows\System32\YqEulwY.exe
  C:\Windows\System32\YqEulwY.exe
  2⤵
  PID:4092
- C:\Windows\System32\WZgpISx.exe
  C:\Windows\System32\WZgpISx.exe
  2⤵
  PID:4532
- C:\Windows\System32\PBjiDKr.exe
  C:\Windows\System32\PBjiDKr.exe
  2⤵
  PID:4688
- C:\Windows\System32\nmvKsPa.exe
  C:\Windows\System32\nmvKsPa.exe
  2⤵
  PID:4740
- C:\Windows\System32\piWFbkW.exe
  C:\Windows\System32\piWFbkW.exe
  2⤵
  PID:1260
- C:\Windows\System32\pBsWHdN.exe
  C:\Windows\System32\pBsWHdN.exe
  2⤵
  PID:4676
- C:\Windows\System32\QSZgwQD.exe
  C:\Windows\System32\QSZgwQD.exe
  2⤵
  PID:640
- C:\Windows\System32\RgYyttq.exe
  C:\Windows\System32\RgYyttq.exe
  2⤵
  PID:5128
- C:\Windows\System32\DbsAkxd.exe
  C:\Windows\System32\DbsAkxd.exe
  2⤵
  PID:5156
- C:\Windows\System32\EjEUtcK.exe
  C:\Windows\System32\EjEUtcK.exe
  2⤵
  PID:5184
- C:\Windows\System32\GNSUSHf.exe
  C:\Windows\System32\GNSUSHf.exe
  2⤵
  PID:5208
- C:\Windows\System32\TCivMwi.exe
  C:\Windows\System32\TCivMwi.exe
  2⤵
  PID:5252
- C:\Windows\System32\ymKBHrP.exe
  C:\Windows\System32\ymKBHrP.exe
  2⤵
  PID:5280
- C:\Windows\System32\wnjHYcv.exe
  C:\Windows\System32\wnjHYcv.exe
  2⤵
  PID:5296
- C:\Windows\System32\kVRiOKR.exe
  C:\Windows\System32\kVRiOKR.exe
  2⤵
  PID:5324
- C:\Windows\System32\RKylyJY.exe
  C:\Windows\System32\RKylyJY.exe
  2⤵
  PID:5352
- C:\Windows\System32\IYjSMsg.exe
  C:\Windows\System32\IYjSMsg.exe
  2⤵
  PID:5380
- C:\Windows\System32\jtJHBne.exe
  C:\Windows\System32\jtJHBne.exe
  2⤵
  PID:5408
- C:\Windows\System32\awATxSS.exe
  C:\Windows\System32\awATxSS.exe
  2⤵
  PID:5436
- C:\Windows\System32\YJTUSlx.exe
  C:\Windows\System32\YJTUSlx.exe
  2⤵
  PID:5464
- C:\Windows\System32\zdGCDux.exe
  C:\Windows\System32\zdGCDux.exe
  2⤵
  PID:5492
- C:\Windows\System32\GxUpEMi.exe
  C:\Windows\System32\GxUpEMi.exe
  2⤵
  PID:5524
- C:\Windows\System32\OkFDDRy.exe
  C:\Windows\System32\OkFDDRy.exe
  2⤵
  PID:5548
- C:\Windows\System32\wodWIjw.exe
  C:\Windows\System32\wodWIjw.exe
  2⤵
  PID:5576
- C:\Windows\System32\odOZjjq.exe
  C:\Windows\System32\odOZjjq.exe
  2⤵
  PID:5604
- C:\Windows\System32\oGzumtO.exe
  C:\Windows\System32\oGzumtO.exe
  2⤵
  PID:5644
- C:\Windows\System32\rtlTunS.exe
  C:\Windows\System32\rtlTunS.exe
  2⤵
  PID:5660
- C:\Windows\System32\HvoJeXF.exe
  C:\Windows\System32\HvoJeXF.exe
  2⤵
  PID:5688
- C:\Windows\System32\lqljLhI.exe
  C:\Windows\System32\lqljLhI.exe
  2⤵
  PID:5720
- C:\Windows\System32\trmLghd.exe
  C:\Windows\System32\trmLghd.exe
  2⤵
  PID:5744
- C:\Windows\System32\ERcclhA.exe
  C:\Windows\System32\ERcclhA.exe
  2⤵
  PID:5772
- C:\Windows\System32\UVkcFUc.exe
  C:\Windows\System32\UVkcFUc.exe
  2⤵
  PID:5800
- C:\Windows\System32\lXYMYCU.exe
  C:\Windows\System32\lXYMYCU.exe
  2⤵
  PID:5828
- C:\Windows\System32\fRIKlWd.exe
  C:\Windows\System32\fRIKlWd.exe
  2⤵
  PID:5856
- C:\Windows\System32\pUhKvuO.exe
  C:\Windows\System32\pUhKvuO.exe
  2⤵
  PID:5880
- C:\Windows\System32\SMVDYbC.exe
  C:\Windows\System32\SMVDYbC.exe
  2⤵
  PID:5908
- C:\Windows\System32\yThHMoj.exe
  C:\Windows\System32\yThHMoj.exe
  2⤵
  PID:5940
- C:\Windows\System32\JrtiUJg.exe
  C:\Windows\System32\JrtiUJg.exe
  2⤵
  PID:5968
- C:\Windows\System32\CFgTPgD.exe
  C:\Windows\System32\CFgTPgD.exe
  2⤵
  PID:5996
- C:\Windows\System32\hbwgtpC.exe
  C:\Windows\System32\hbwgtpC.exe
  2⤵
  PID:6020
- C:\Windows\System32\dOFgLam.exe
  C:\Windows\System32\dOFgLam.exe
  2⤵
  PID:6052
- C:\Windows\System32\BbcpnGH.exe
  C:\Windows\System32\BbcpnGH.exe
  2⤵
  PID:6080
- C:\Windows\System32\nrpcQjC.exe
  C:\Windows\System32\nrpcQjC.exe
  2⤵
  PID:6108
- C:\Windows\System32\TmjnKwS.exe
  C:\Windows\System32\TmjnKwS.exe
  2⤵
  PID:6128
- C:\Windows\System32\CVHQooa.exe
  C:\Windows\System32\CVHQooa.exe
  2⤵
  PID:3104
- C:\Windows\System32\GAezxfp.exe
  C:\Windows\System32\GAezxfp.exe
  2⤵
  PID:4020
- C:\Windows\System32\OqjPKxW.exe
  C:\Windows\System32\OqjPKxW.exe
  2⤵
  PID:4608
- C:\Windows\System32\cMUmNqZ.exe
  C:\Windows\System32\cMUmNqZ.exe
  2⤵
  PID:2160
- C:\Windows\System32\AEGuLhn.exe
  C:\Windows\System32\AEGuLhn.exe
  2⤵
  PID:4684
- C:\Windows\System32\aPoJtKJ.exe
  C:\Windows\System32\aPoJtKJ.exe
  2⤵
  PID:5168
- C:\Windows\System32\BzYzgam.exe
  C:\Windows\System32\BzYzgam.exe
  2⤵
  PID:5224
- C:\Windows\System32\EBEsUiL.exe
  C:\Windows\System32\EBEsUiL.exe
  2⤵
  PID:5260
- C:\Windows\System32\VmtHmfw.exe
  C:\Windows\System32\VmtHmfw.exe
  2⤵
  PID:5316
- C:\Windows\System32\carrwGD.exe
  C:\Windows\System32\carrwGD.exe
  2⤵
  PID:5348
- C:\Windows\System32\TKVznAX.exe
  C:\Windows\System32\TKVznAX.exe
  2⤵
  PID:5428
- C:\Windows\System32\EauBJiI.exe
  C:\Windows\System32\EauBJiI.exe
  2⤵
  PID:5448
- C:\Windows\System32\afoDHuo.exe
  C:\Windows\System32\afoDHuo.exe
  2⤵
  PID:5504
- C:\Windows\System32\AwQPYyk.exe
  C:\Windows\System32\AwQPYyk.exe
  2⤵
  PID:5656
- C:\Windows\System32\ixGxDwi.exe
  C:\Windows\System32\ixGxDwi.exe
  2⤵
  PID:5816
- C:\Windows\System32\ZMQHXvY.exe
  C:\Windows\System32\ZMQHXvY.exe
  2⤵
  PID:5932
- C:\Windows\System32\ivZwOYZ.exe
  C:\Windows\System32\ivZwOYZ.exe
  2⤵
  PID:5960
- C:\Windows\System32\AgfqkgA.exe
  C:\Windows\System32\AgfqkgA.exe
  2⤵
  PID:2844
- C:\Windows\System32\jZmawMp.exe
  C:\Windows\System32\jZmawMp.exe
  2⤵
  PID:6088
- C:\Windows\System32\DvIVYgb.exe
  C:\Windows\System32\DvIVYgb.exe
  2⤵
  PID:4892
- C:\Windows\System32\rpVKmmU.exe
  C:\Windows\System32\rpVKmmU.exe
  2⤵
  PID:3804
- C:\Windows\System32\aVqgvLy.exe
  C:\Windows\System32\aVqgvLy.exe
  2⤵
  PID:6120
- C:\Windows\System32\aQEyqnA.exe
  C:\Windows\System32\aQEyqnA.exe
  2⤵
  PID:4132
- C:\Windows\System32\crishTu.exe
  C:\Windows\System32\crishTu.exe
  2⤵
  PID:1608
- C:\Windows\System32\UDfkhdj.exe
  C:\Windows\System32\UDfkhdj.exe
  2⤵
  PID:1824
- C:\Windows\System32\MBElCJK.exe
  C:\Windows\System32\MBElCJK.exe
  2⤵
  PID:796
- C:\Windows\System32\wqCoVqS.exe
  C:\Windows\System32\wqCoVqS.exe
  2⤵
  PID:4260
- C:\Windows\System32\SUfyWUz.exe
  C:\Windows\System32\SUfyWUz.exe
  2⤵
  PID:2968
- C:\Windows\System32\WhfUvyW.exe
  C:\Windows\System32\WhfUvyW.exe
  2⤵
  PID:2820
- C:\Windows\System32\DTZFxIh.exe
  C:\Windows\System32\DTZFxIh.exe
  2⤵
  PID:3712
- C:\Windows\System32\ZSUcNjQ.exe
  C:\Windows\System32\ZSUcNjQ.exe
  2⤵
  PID:4456
- C:\Windows\System32\nIEhCJw.exe
  C:\Windows\System32\nIEhCJw.exe
  2⤵
  PID:5204
- C:\Windows\System32\fTRMbjp.exe
  C:\Windows\System32\fTRMbjp.exe
  2⤵
  PID:5304
- C:\Windows\System32\ugvgCNM.exe
  C:\Windows\System32\ugvgCNM.exe
  2⤵
  PID:4476
- C:\Windows\System32\cZmSgcn.exe
  C:\Windows\System32\cZmSgcn.exe
  2⤵
  PID:5476
- C:\Windows\System32\PqJitBA.exe
  C:\Windows\System32\PqJitBA.exe
  2⤵
  PID:5612
- C:\Windows\System32\rngQwij.exe
  C:\Windows\System32\rngQwij.exe
  2⤵
  PID:5672
- C:\Windows\System32\lAZoQYX.exe
  C:\Windows\System32\lAZoQYX.exe
  2⤵
  PID:836
- C:\Windows\System32\XLiMglS.exe
  C:\Windows\System32\XLiMglS.exe
  2⤵
  PID:6100
- C:\Windows\System32\ZwimSnw.exe
  C:\Windows\System32\ZwimSnw.exe
  2⤵
  PID:2636
- C:\Windows\System32\fwkILeV.exe
  C:\Windows\System32\fwkILeV.exe
  2⤵
  PID:3612
- C:\Windows\System32\LvadMRj.exe
  C:\Windows\System32\LvadMRj.exe
  2⤵
  PID:1584
- C:\Windows\System32\KPrJWas.exe
  C:\Windows\System32\KPrJWas.exe
  2⤵
  PID:4952
- C:\Windows\System32\zfrQWGD.exe
  C:\Windows\System32\zfrQWGD.exe
  2⤵
  PID:1616
- C:\Windows\System32\KuVzYkO.exe
  C:\Windows\System32\KuVzYkO.exe
  2⤵
  PID:5540
- C:\Windows\System32\DshVAwV.exe
  C:\Windows\System32\DshVAwV.exe
  2⤵
  PID:5756
- C:\Windows\System32\gAahmZI.exe
  C:\Windows\System32\gAahmZI.exe
  2⤵
  PID:1900
- C:\Windows\System32\bYWUrKn.exe
  C:\Windows\System32\bYWUrKn.exe
  2⤵
  PID:2768
- C:\Windows\System32\mgAmGUk.exe
  C:\Windows\System32\mgAmGUk.exe
  2⤵
  PID:1496
- C:\Windows\System32\LtMxiLy.exe
  C:\Windows\System32\LtMxiLy.exe
  2⤵
  PID:6124
- C:\Windows\System32\xofbTnb.exe
  C:\Windows\System32\xofbTnb.exe
  2⤵
  PID:1440
- C:\Windows\System32\qFrFqZb.exe
  C:\Windows\System32\qFrFqZb.exe
  2⤵
  PID:1656
- C:\Windows\System32\ZbHIlPP.exe
  C:\Windows\System32\ZbHIlPP.exe
  2⤵
  PID:4108
- C:\Windows\System32\QiTpOER.exe
  C:\Windows\System32\QiTpOER.exe
  2⤵
  PID:1920
- C:\Windows\System32\xbmdDUk.exe
  C:\Windows\System32\xbmdDUk.exe
  2⤵
  PID:5980
- C:\Windows\System32\kLlYUdY.exe
  C:\Windows\System32\kLlYUdY.exe
  2⤵
  PID:6160
- C:\Windows\System32\snCwWts.exe
  C:\Windows\System32\snCwWts.exe
  2⤵
  PID:6192
- C:\Windows\System32\SlblijZ.exe
  C:\Windows\System32\SlblijZ.exe
  2⤵
  PID:6236
- C:\Windows\System32\hQIlgaT.exe
  C:\Windows\System32\hQIlgaT.exe
  2⤵
  PID:6260
- C:\Windows\System32\ZboBHKp.exe
  C:\Windows\System32\ZboBHKp.exe
  2⤵
  PID:6292
- C:\Windows\System32\EsJzTXJ.exe
  C:\Windows\System32\EsJzTXJ.exe
  2⤵
  PID:6308
- C:\Windows\System32\nBtQGtz.exe
  C:\Windows\System32\nBtQGtz.exe
  2⤵
  PID:6332
- C:\Windows\System32\ImVoixS.exe
  C:\Windows\System32\ImVoixS.exe
  2⤵
  PID:6352
- C:\Windows\System32\STwrkUF.exe
  C:\Windows\System32\STwrkUF.exe
  2⤵
  PID:6420
- C:\Windows\System32\MfzyOOD.exe
  C:\Windows\System32\MfzyOOD.exe
  2⤵
  PID:6444
- C:\Windows\System32\zVarZZH.exe
  C:\Windows\System32\zVarZZH.exe
  2⤵
  PID:6460
- C:\Windows\System32\mOlGJhr.exe
  C:\Windows\System32\mOlGJhr.exe
  2⤵
  PID:6492
- C:\Windows\System32\AjJIHsl.exe
  C:\Windows\System32\AjJIHsl.exe
  2⤵
  PID:6520
- C:\Windows\System32\pwylLmF.exe
  C:\Windows\System32\pwylLmF.exe
  2⤵
  PID:6552
- C:\Windows\System32\dMeWGRF.exe
  C:\Windows\System32\dMeWGRF.exe
  2⤵
  PID:6568
- C:\Windows\System32\aWjCkqY.exe
  C:\Windows\System32\aWjCkqY.exe
  2⤵
  PID:6592
- C:\Windows\System32\elYaOKA.exe
  C:\Windows\System32\elYaOKA.exe
  2⤵
  PID:6608
- C:\Windows\System32\QkCNzrh.exe
  C:\Windows\System32\QkCNzrh.exe
  2⤵
  PID:6652
- C:\Windows\System32\XWLHbSk.exe
  C:\Windows\System32\XWLHbSk.exe
  2⤵
  PID:6688
- C:\Windows\System32\GffaeQe.exe
  C:\Windows\System32\GffaeQe.exe
  2⤵
  PID:6720
- C:\Windows\System32\fBhFVKN.exe
  C:\Windows\System32\fBhFVKN.exe
  2⤵
  PID:6736
- C:\Windows\System32\UPwUhfZ.exe
  C:\Windows\System32\UPwUhfZ.exe
  2⤵
  PID:6764
- C:\Windows\System32\ThiYqtQ.exe
  C:\Windows\System32\ThiYqtQ.exe
  2⤵
  PID:6788
- C:\Windows\System32\OdtruJb.exe
  C:\Windows\System32\OdtruJb.exe
  2⤵
  PID:6812
- C:\Windows\System32\ALZEHKy.exe
  C:\Windows\System32\ALZEHKy.exe
  2⤵
  PID:6832
- C:\Windows\System32\vqxTuJL.exe
  C:\Windows\System32\vqxTuJL.exe
  2⤵
  PID:6884
- C:\Windows\System32\nmFGjHK.exe
  C:\Windows\System32\nmFGjHK.exe
  2⤵
  PID:6924
- C:\Windows\System32\tVmfDXa.exe
  C:\Windows\System32\tVmfDXa.exe
  2⤵
  PID:6948
- C:\Windows\System32\OduBtHS.exe
  C:\Windows\System32\OduBtHS.exe
  2⤵
  PID:6972
- C:\Windows\System32\pzTWmhn.exe
  C:\Windows\System32\pzTWmhn.exe
  2⤵
  PID:6996
- C:\Windows\System32\MDLxejE.exe
  C:\Windows\System32\MDLxejE.exe
  2⤵
  PID:7012
- C:\Windows\System32\zWFnzuX.exe
  C:\Windows\System32\zWFnzuX.exe
  2⤵
  PID:7036
- C:\Windows\System32\bHkcwDA.exe
  C:\Windows\System32\bHkcwDA.exe
  2⤵
  PID:7056
- C:\Windows\System32\tOzrfyZ.exe
  C:\Windows\System32\tOzrfyZ.exe
  2⤵
  PID:7092
- C:\Windows\System32\sYVgLay.exe
  C:\Windows\System32\sYVgLay.exe
  2⤵
  PID:7148
- C:\Windows\System32\qPGKVLm.exe
  C:\Windows\System32\qPGKVLm.exe
  2⤵
  PID:5196
- C:\Windows\System32\yUHGAJQ.exe
  C:\Windows\System32\yUHGAJQ.exe
  2⤵
  PID:6180
- C:\Windows\System32\NyUtRdH.exe
  C:\Windows\System32\NyUtRdH.exe
  2⤵
  PID:6200
- C:\Windows\System32\FkmpoDC.exe
  C:\Windows\System32\FkmpoDC.exe
  2⤵
  PID:6256
- C:\Windows\System32\EyDdvdM.exe
  C:\Windows\System32\EyDdvdM.exe
  2⤵
  PID:3000
- C:\Windows\System32\VQctkJQ.exe
  C:\Windows\System32\VQctkJQ.exe
  2⤵
  PID:6344
- C:\Windows\System32\OdPpcQI.exe
  C:\Windows\System32\OdPpcQI.exe
  2⤵
  PID:6376
- C:\Windows\System32\DQUPfbc.exe
  C:\Windows\System32\DQUPfbc.exe
  2⤵
  PID:6360
- C:\Windows\System32\RieEZtL.exe
  C:\Windows\System32\RieEZtL.exe
  2⤵
  PID:6452
- C:\Windows\System32\xaRYbLT.exe
  C:\Windows\System32\xaRYbLT.exe
  2⤵
  PID:6532
- C:\Windows\System32\uVqQPxV.exe
  C:\Windows\System32\uVqQPxV.exe
  2⤵
  PID:6600
- C:\Windows\System32\ByEJzMu.exe
  C:\Windows\System32\ByEJzMu.exe
  2⤵
  PID:768
- C:\Windows\System32\MfRxwFu.exe
  C:\Windows\System32\MfRxwFu.exe
  2⤵
  PID:6660
- C:\Windows\System32\kBngWUn.exe
  C:\Windows\System32\kBngWUn.exe
  2⤵
  PID:6700
- C:\Windows\System32\BpJkUGy.exe
  C:\Windows\System32\BpJkUGy.exe
  2⤵
  PID:6728
- C:\Windows\System32\BlBpedt.exe
  C:\Windows\System32\BlBpedt.exe
  2⤵
  PID:6796
- C:\Windows\System32\EDcduKc.exe
  C:\Windows\System32\EDcduKc.exe
  2⤵
  PID:6900
- C:\Windows\System32\jSPGSiu.exe
  C:\Windows\System32\jSPGSiu.exe
  2⤵
  PID:6980
- C:\Windows\System32\UWJvyWM.exe
  C:\Windows\System32\UWJvyWM.exe
  2⤵
  PID:7064
- C:\Windows\System32\SXHvKbl.exe
  C:\Windows\System32\SXHvKbl.exe
  2⤵
  PID:7048
- C:\Windows\System32\OyrrslU.exe
  C:\Windows\System32\OyrrslU.exe
  2⤵
  PID:7136
- C:\Windows\System32\yGfnoph.exe
  C:\Windows\System32\yGfnoph.exe
  2⤵
  PID:4796
- C:\Windows\System32\UIBMQPV.exe
  C:\Windows\System32\UIBMQPV.exe
  2⤵
  PID:6152
- C:\Windows\System32\mLubDHJ.exe
  C:\Windows\System32\mLubDHJ.exe
  2⤵
  PID:6272
- C:\Windows\System32\cpVIERn.exe
  C:\Windows\System32\cpVIERn.exe
  2⤵
  PID:6348
- C:\Windows\System32\clLyiid.exe
  C:\Windows\System32\clLyiid.exe
  2⤵
  PID:6576
- C:\Windows\System32\OPYgrYG.exe
  C:\Windows\System32\OPYgrYG.exe
  2⤵
  PID:2076
- C:\Windows\System32\LpqpnXB.exe
  C:\Windows\System32\LpqpnXB.exe
  2⤵
  PID:6968
- C:\Windows\System32\xBVBFYB.exe
  C:\Windows\System32\xBVBFYB.exe
  2⤵
  PID:7088
- C:\Windows\System32\pPNkYCQ.exe
  C:\Windows\System32\pPNkYCQ.exe
  2⤵
  PID:7008
- C:\Windows\System32\QNpAEmG.exe
  C:\Windows\System32\QNpAEmG.exe
  2⤵
  PID:7124
- C:\Windows\System32\UCKZCvN.exe
  C:\Windows\System32\UCKZCvN.exe
  2⤵
  PID:4716
- C:\Windows\System32\WQAFUPU.exe
  C:\Windows\System32\WQAFUPU.exe
  2⤵
  PID:6300
- C:\Windows\System32\qGJsjrH.exe
  C:\Windows\System32\qGJsjrH.exe
  2⤵
  PID:2896
- C:\Windows\System32\rlGipHo.exe
  C:\Windows\System32\rlGipHo.exe
  2⤵
  PID:4876
- C:\Windows\System32\gtdZihh.exe
  C:\Windows\System32\gtdZihh.exe
  2⤵
  PID:6784
- C:\Windows\System32\ZUjqzBW.exe
  C:\Windows\System32\ZUjqzBW.exe
  2⤵
  PID:7200
- C:\Windows\System32\bKshWIE.exe
  C:\Windows\System32\bKshWIE.exe
  2⤵
  PID:7308
- C:\Windows\System32\AOjuldE.exe
  C:\Windows\System32\AOjuldE.exe
  2⤵
  PID:7340
- C:\Windows\System32\VyEzfAR.exe
  C:\Windows\System32\VyEzfAR.exe
  2⤵
  PID:7412
- C:\Windows\System32\phrwBQS.exe
  C:\Windows\System32\phrwBQS.exe
  2⤵
  PID:7428
- C:\Windows\System32\EwIKUAL.exe
  C:\Windows\System32\EwIKUAL.exe
  2⤵
  PID:7452
- C:\Windows\System32\yozNEca.exe
  C:\Windows\System32\yozNEca.exe
  2⤵
  PID:7468
- C:\Windows\System32\WeWdrHG.exe
  C:\Windows\System32\WeWdrHG.exe
  2⤵
  PID:7500
- C:\Windows\System32\TdeONDI.exe
  C:\Windows\System32\TdeONDI.exe
  2⤵
  PID:7524
- C:\Windows\System32\ObfzUhC.exe
  C:\Windows\System32\ObfzUhC.exe
  2⤵
  PID:7544
- C:\Windows\System32\dYjecuS.exe
  C:\Windows\System32\dYjecuS.exe
  2⤵
  PID:7560
- C:\Windows\System32\PxZEgJB.exe
  C:\Windows\System32\PxZEgJB.exe
  2⤵
  PID:7584
- C:\Windows\System32\PqrPVka.exe
  C:\Windows\System32\PqrPVka.exe
  2⤵
  PID:7608
- C:\Windows\System32\HjNeGvZ.exe
  C:\Windows\System32\HjNeGvZ.exe
  2⤵
  PID:7628
- C:\Windows\System32\CPUOtGd.exe
  C:\Windows\System32\CPUOtGd.exe
  2⤵
  PID:7696
- C:\Windows\System32\ALzrJjA.exe
  C:\Windows\System32\ALzrJjA.exe
  2⤵
  PID:7720
- C:\Windows\System32\pJdxzAk.exe
  C:\Windows\System32\pJdxzAk.exe
  2⤵
  PID:7748
- C:\Windows\System32\RomkAxx.exe
  C:\Windows\System32\RomkAxx.exe
  2⤵
  PID:7840
- C:\Windows\System32\zSIAfxf.exe
  C:\Windows\System32\zSIAfxf.exe
  2⤵
  PID:7872
- C:\Windows\System32\dkEjBzX.exe
  C:\Windows\System32\dkEjBzX.exe
  2⤵
  PID:7892
- C:\Windows\System32\tSCLrjA.exe
  C:\Windows\System32\tSCLrjA.exe
  2⤵
  PID:7920
- C:\Windows\System32\SmBzffA.exe
  C:\Windows\System32\SmBzffA.exe
  2⤵
  PID:7968
- C:\Windows\System32\wYarsSV.exe
  C:\Windows\System32\wYarsSV.exe
  2⤵
  PID:8004
- C:\Windows\System32\RPINJHA.exe
  C:\Windows\System32\RPINJHA.exe
  2⤵
  PID:8020
- C:\Windows\System32\HssBebS.exe
  C:\Windows\System32\HssBebS.exe
  2⤵
  PID:8040
- C:\Windows\System32\ZwJkeCC.exe
  C:\Windows\System32\ZwJkeCC.exe
  2⤵
  PID:8060
- C:\Windows\System32\tvujdWo.exe
  C:\Windows\System32\tvujdWo.exe
  2⤵
  PID:8076
- C:\Windows\System32\rbDMXwG.exe
  C:\Windows\System32\rbDMXwG.exe
  2⤵
  PID:8128
- C:\Windows\System32\pONIRRP.exe
  C:\Windows\System32\pONIRRP.exe
  2⤵
  PID:8156
- C:\Windows\System32\HbpbVkT.exe
  C:\Windows\System32\HbpbVkT.exe
  2⤵
  PID:8172
- C:\Windows\System32\MTpPYNv.exe
  C:\Windows\System32\MTpPYNv.exe
  2⤵
  PID:6680
- C:\Windows\System32\VSFMfiU.exe
  C:\Windows\System32\VSFMfiU.exe
  2⤵
  PID:7220
- C:\Windows\System32\wjIPTYY.exe
  C:\Windows\System32\wjIPTYY.exe
  2⤵
  PID:6732
- C:\Windows\System32\hlLcipk.exe
  C:\Windows\System32\hlLcipk.exe
  2⤵
  PID:7272
- C:\Windows\System32\aVXhFEj.exe
  C:\Windows\System32\aVXhFEj.exe
  2⤵
  PID:7332
- C:\Windows\System32\VNahTkv.exe
  C:\Windows\System32\VNahTkv.exe
  2⤵
  PID:7368
- C:\Windows\System32\BNpNfaw.exe
  C:\Windows\System32\BNpNfaw.exe
  2⤵
  PID:7264
- C:\Windows\System32\rdSXSSu.exe
  C:\Windows\System32\rdSXSSu.exe
  2⤵
  PID:7320
- C:\Windows\System32\RCewrOO.exe
  C:\Windows\System32\RCewrOO.exe
  2⤵
  PID:7396
- C:\Windows\System32\EBKzGoe.exe
  C:\Windows\System32\EBKzGoe.exe
  2⤵
  PID:7420
- C:\Windows\System32\dldjnbU.exe
  C:\Windows\System32\dldjnbU.exe
  2⤵
  PID:7536
- C:\Windows\System32\BDUzKhQ.exe
  C:\Windows\System32\BDUzKhQ.exe
  2⤵
  PID:7604
- C:\Windows\System32\pslGBxx.exe
  C:\Windows\System32\pslGBxx.exe
  2⤵
  PID:7576
- C:\Windows\System32\KGJqKOd.exe
  C:\Windows\System32\KGJqKOd.exe
  2⤵
  PID:7728
- C:\Windows\System32\YkIIJSI.exe
  C:\Windows\System32\YkIIJSI.exe
  2⤵
  PID:7848
- C:\Windows\System32\PAERZcP.exe
  C:\Windows\System32\PAERZcP.exe
  2⤵
  PID:7928
- C:\Windows\System32\eWhGbRS.exe
  C:\Windows\System32\eWhGbRS.exe
  2⤵
  PID:8028
- C:\Windows\System32\iAPPRBe.exe
  C:\Windows\System32\iAPPRBe.exe
  2⤵
  PID:7976
- C:\Windows\System32\vgSagyI.exe
  C:\Windows\System32\vgSagyI.exe
  2⤵
  PID:8032
- C:\Windows\System32\barjVAg.exe
  C:\Windows\System32\barjVAg.exe
  2⤵
  PID:8180
- C:\Windows\System32\sBukfBb.exe
  C:\Windows\System32\sBukfBb.exe
  2⤵
  PID:4964
- C:\Windows\System32\xYmaJYg.exe
  C:\Windows\System32\xYmaJYg.exe
  2⤵
  PID:7216
- C:\Windows\System32\hAqDiik.exe
  C:\Windows\System32\hAqDiik.exe
  2⤵
  PID:6800
- C:\Windows\System32\GEcQEiO.exe
  C:\Windows\System32\GEcQEiO.exe
  2⤵
  PID:3740
- C:\Windows\System32\PHuBIAs.exe
  C:\Windows\System32\PHuBIAs.exe
  2⤵
  PID:7316
- C:\Windows\System32\NNkFZYD.exe
  C:\Windows\System32\NNkFZYD.exe
  2⤵
  PID:7292
- C:\Windows\System32\JGkpmSN.exe
  C:\Windows\System32\JGkpmSN.exe
  2⤵
  PID:7636
- C:\Windows\System32\wVLzUjh.exe
  C:\Windows\System32\wVLzUjh.exe
  2⤵
  PID:7532
- C:\Windows\System32\PQEGKiy.exe
  C:\Windows\System32\PQEGKiy.exe
  2⤵
  PID:7804
- C:\Windows\System32\JPCtNJM.exe
  C:\Windows\System32\JPCtNJM.exe
  2⤵
  PID:8140
- C:\Windows\System32\dSaDdYd.exe
  C:\Windows\System32\dSaDdYd.exe
  2⤵
  PID:6944
- C:\Windows\System32\rKDLtrg.exe
  C:\Windows\System32\rKDLtrg.exe
  2⤵
  PID:7444
- C:\Windows\System32\iGMmysR.exe
  C:\Windows\System32\iGMmysR.exe
  2⤵
  PID:4428
- C:\Windows\System32\PjwtZQH.exe
  C:\Windows\System32\PjwtZQH.exe
  2⤵
  PID:7660
- C:\Windows\System32\zCeYurh.exe
  C:\Windows\System32\zCeYurh.exe
  2⤵
  PID:7764
- C:\Windows\System32\yOvhwHR.exe
  C:\Windows\System32\yOvhwHR.exe
  2⤵
  PID:8220
- C:\Windows\System32\WfhigHC.exe
  C:\Windows\System32\WfhigHC.exe
  2⤵
  PID:8248
- C:\Windows\System32\LWXhjhq.exe
  C:\Windows\System32\LWXhjhq.exe
  2⤵
  PID:8268
- C:\Windows\System32\CsAQBDR.exe
  C:\Windows\System32\CsAQBDR.exe
  2⤵
  PID:8288
- C:\Windows\System32\MaHJmeV.exe
  C:\Windows\System32\MaHJmeV.exe
  2⤵
  PID:8328
- C:\Windows\System32\njFNcAz.exe
  C:\Windows\System32\njFNcAz.exe
  2⤵
  PID:8364
- C:\Windows\System32\xaybwpo.exe
  C:\Windows\System32\xaybwpo.exe
  2⤵
  PID:8392
- C:\Windows\System32\FsDeZOk.exe
  C:\Windows\System32\FsDeZOk.exe
  2⤵
  PID:8420
- C:\Windows\System32\EGNezQJ.exe
  C:\Windows\System32\EGNezQJ.exe
  2⤵
  PID:8440
- C:\Windows\System32\AKmGdSZ.exe
  C:\Windows\System32\AKmGdSZ.exe
  2⤵
  PID:8464
- C:\Windows\System32\CQvpDBB.exe
  C:\Windows\System32\CQvpDBB.exe
  2⤵
  PID:8492
- C:\Windows\System32\PWCQtEX.exe
  C:\Windows\System32\PWCQtEX.exe
  2⤵
  PID:8536
- C:\Windows\System32\HtXjWKo.exe
  C:\Windows\System32\HtXjWKo.exe
  2⤵
  PID:8556
- C:\Windows\System32\sLpsbbM.exe
  C:\Windows\System32\sLpsbbM.exe
  2⤵
  PID:8576
- C:\Windows\System32\fDjYLZG.exe
  C:\Windows\System32\fDjYLZG.exe
  2⤵
  PID:8608
- C:\Windows\System32\NRikjAj.exe
  C:\Windows\System32\NRikjAj.exe
  2⤵
  PID:8636
- C:\Windows\System32\hbSaRzR.exe
  C:\Windows\System32\hbSaRzR.exe
  2⤵
  PID:8656
- C:\Windows\System32\MMWsoRA.exe
  C:\Windows\System32\MMWsoRA.exe
  2⤵
  PID:8680
- C:\Windows\System32\URQwlWk.exe
  C:\Windows\System32\URQwlWk.exe
  2⤵
  PID:8700
- C:\Windows\System32\cikKriA.exe
  C:\Windows\System32\cikKriA.exe
  2⤵
  PID:8732
- C:\Windows\System32\eUQVtew.exe
  C:\Windows\System32\eUQVtew.exe
  2⤵
  PID:8752
- C:\Windows\System32\jqmgMov.exe
  C:\Windows\System32\jqmgMov.exe
  2⤵
  PID:8792
- C:\Windows\System32\oQDopbo.exe
  C:\Windows\System32\oQDopbo.exe
  2⤵
  PID:8820
- C:\Windows\System32\PBcXkJT.exe
  C:\Windows\System32\PBcXkJT.exe
  2⤵
  PID:8844
- C:\Windows\System32\dmsFYse.exe
  C:\Windows\System32\dmsFYse.exe
  2⤵
  PID:8864
- C:\Windows\System32\uVonLiE.exe
  C:\Windows\System32\uVonLiE.exe
  2⤵
  PID:8884
- C:\Windows\System32\HymBhJc.exe
  C:\Windows\System32\HymBhJc.exe
  2⤵
  PID:8900
- C:\Windows\System32\TTrgyVO.exe
  C:\Windows\System32\TTrgyVO.exe
  2⤵
  PID:8924
- C:\Windows\System32\MiYMUIS.exe
  C:\Windows\System32\MiYMUIS.exe
  2⤵
  PID:8940
- C:\Windows\System32\EgspKjm.exe
  C:\Windows\System32\EgspKjm.exe
  2⤵
  PID:8992
- C:\Windows\System32\OCoxHdr.exe
  C:\Windows\System32\OCoxHdr.exe
  2⤵
  PID:9008
- C:\Windows\System32\TatdREG.exe
  C:\Windows\System32\TatdREG.exe
  2⤵
  PID:9072
- C:\Windows\System32\HgCOAUB.exe
  C:\Windows\System32\HgCOAUB.exe
  2⤵
  PID:9136
- C:\Windows\System32\NfzESwA.exe
  C:\Windows\System32\NfzESwA.exe
  2⤵
  PID:9152
- C:\Windows\System32\jNWhcRh.exe
  C:\Windows\System32\jNWhcRh.exe
  2⤵
  PID:9184
- C:\Windows\System32\DOzlJzN.exe
  C:\Windows\System32\DOzlJzN.exe
  2⤵
  PID:9212
- C:\Windows\System32\JVASQiD.exe
  C:\Windows\System32\JVASQiD.exe
  2⤵
  PID:8204
- C:\Windows\System32\AwnoeZG.exe
  C:\Windows\System32\AwnoeZG.exe
  2⤵
  PID:8236
- C:\Windows\System32\cmTdNkb.exe
  C:\Windows\System32\cmTdNkb.exe
  2⤵
  PID:8348
- C:\Windows\System32\aQjiEzd.exe
  C:\Windows\System32\aQjiEzd.exe
  2⤵
  PID:8416
- C:\Windows\System32\wPDSiJV.exe
  C:\Windows\System32\wPDSiJV.exe
  2⤵
  PID:8476
- C:\Windows\System32\TVQjGcw.exe
  C:\Windows\System32\TVQjGcw.exe
  2⤵
  PID:8552
- C:\Windows\System32\gjHYcRM.exe
  C:\Windows\System32\gjHYcRM.exe
  2⤵
  PID:8620
- C:\Windows\System32\jHnSJuK.exe
  C:\Windows\System32\jHnSJuK.exe
  2⤵
  PID:8664
- C:\Windows\System32\LaehxoQ.exe
  C:\Windows\System32\LaehxoQ.exe
  2⤵
  PID:8724
- C:\Windows\System32\AWHnKqv.exe
  C:\Windows\System32\AWHnKqv.exe
  2⤵
  PID:8808
- C:\Windows\System32\sTrKXbw.exe
  C:\Windows\System32\sTrKXbw.exe
  2⤵
  PID:8908
- C:\Windows\System32\dFmdnNA.exe
  C:\Windows\System32\dFmdnNA.exe
  2⤵
  PID:8840
- C:\Windows\System32\xTefuWB.exe
  C:\Windows\System32\xTefuWB.exe
  2⤵
  PID:9024
- C:\Windows\System32\LUSwGHO.exe
  C:\Windows\System32\LUSwGHO.exe
  2⤵
  PID:9040
- C:\Windows\System32\kdqiCgO.exe
  C:\Windows\System32\kdqiCgO.exe
  2⤵
  PID:9080
- C:\Windows\System32\RcatYHu.exe
  C:\Windows\System32\RcatYHu.exe
  2⤵
  PID:9124
- C:\Windows\System32\EPayELS.exe
  C:\Windows\System32\EPayELS.exe
  2⤵
  PID:7192
- C:\Windows\System32\YuoPHZN.exe
  C:\Windows\System32\YuoPHZN.exe
  2⤵
  PID:8284
- C:\Windows\System32\psVrOCj.exe
  C:\Windows\System32\psVrOCj.exe
  2⤵
  PID:8276
- C:\Windows\System32\tIZtIlI.exe
  C:\Windows\System32\tIZtIlI.exe
  2⤵
  PID:8472
- C:\Windows\System32\wAhwhjX.exe
  C:\Windows\System32\wAhwhjX.exe
  2⤵
  PID:8616
- C:\Windows\System32\bdyrkGy.exe
  C:\Windows\System32\bdyrkGy.exe
  2⤵
  PID:9068
- C:\Windows\System32\zcYeqci.exe
  C:\Windows\System32\zcYeqci.exe
  2⤵
  PID:8532
- C:\Windows\System32\ySwZFIo.exe
  C:\Windows\System32\ySwZFIo.exe
  2⤵
  PID:8652
- C:\Windows\System32\TwSHJkR.exe
  C:\Windows\System32\TwSHJkR.exe
  2⤵
  PID:8208
- C:\Windows\System32\VSUHoKq.exe
  C:\Windows\System32\VSUHoKq.exe
  2⤵
  PID:8932
- C:\Windows\System32\TOGsBjH.exe
  C:\Windows\System32\TOGsBjH.exe
  2⤵
  PID:8956
- C:\Windows\System32\RTCOTPn.exe
  C:\Windows\System32\RTCOTPn.exe
  2⤵
  PID:9240
- C:\Windows\System32\rstsmjH.exe
  C:\Windows\System32\rstsmjH.exe
  2⤵
  PID:9268
- C:\Windows\System32\yBfcvom.exe
  C:\Windows\System32\yBfcvom.exe
  2⤵
  PID:9308
- C:\Windows\System32\xCLWZYF.exe
  C:\Windows\System32\xCLWZYF.exe
  2⤵
  PID:9340
- C:\Windows\System32\BaoDdut.exe
  C:\Windows\System32\BaoDdut.exe
  2⤵
  PID:9376
- C:\Windows\System32\MDcdPKq.exe
  C:\Windows\System32\MDcdPKq.exe
  2⤵
  PID:9396
- C:\Windows\System32\UTEStaD.exe
  C:\Windows\System32\UTEStaD.exe
  2⤵
  PID:9420
- C:\Windows\System32\LERUuiE.exe
  C:\Windows\System32\LERUuiE.exe
  2⤵
  PID:9468
- C:\Windows\System32\qiljLuP.exe
  C:\Windows\System32\qiljLuP.exe
  2⤵
  PID:9488
- C:\Windows\System32\sCSTxmt.exe
  C:\Windows\System32\sCSTxmt.exe
  2⤵
  PID:9512
- C:\Windows\System32\Rlthedt.exe
  C:\Windows\System32\Rlthedt.exe
  2⤵
  PID:9532
- C:\Windows\System32\GCLzUyg.exe
  C:\Windows\System32\GCLzUyg.exe
  2⤵
  PID:9548
- C:\Windows\System32\QstTtwJ.exe
  C:\Windows\System32\QstTtwJ.exe
  2⤵
  PID:9588
- C:\Windows\System32\znFBbiS.exe
  C:\Windows\System32\znFBbiS.exe
  2⤵
  PID:9612
- C:\Windows\System32\COIHXRO.exe
  C:\Windows\System32\COIHXRO.exe
  2⤵
  PID:9628
- C:\Windows\System32\goWZGCJ.exe
  C:\Windows\System32\goWZGCJ.exe
  2⤵
  PID:9664
- C:\Windows\System32\oRwUcea.exe
  C:\Windows\System32\oRwUcea.exe
  2⤵
  PID:9716
- C:\Windows\System32\jvhfSli.exe
  C:\Windows\System32\jvhfSli.exe
  2⤵
  PID:9740
- C:\Windows\System32\wcoHRlh.exe
  C:\Windows\System32\wcoHRlh.exe
  2⤵
  PID:9756
- C:\Windows\System32\jiBOGqX.exe
  C:\Windows\System32\jiBOGqX.exe
  2⤵
  PID:9792
- C:\Windows\System32\gHKUTcJ.exe
  C:\Windows\System32\gHKUTcJ.exe
  2⤵
  PID:9812
- C:\Windows\System32\DUpAMuU.exe
  C:\Windows\System32\DUpAMuU.exe
  2⤵
  PID:9832
- C:\Windows\System32\KXUCygP.exe
  C:\Windows\System32\KXUCygP.exe
  2⤵
  PID:9852
- C:\Windows\System32\xnOlcGq.exe
  C:\Windows\System32\xnOlcGq.exe
  2⤵
  PID:9872
- C:\Windows\System32\waZqzBc.exe
  C:\Windows\System32\waZqzBc.exe
  2⤵
  PID:9916
- C:\Windows\System32\yGrmenO.exe
  C:\Windows\System32\yGrmenO.exe
  2⤵
  PID:9956
- C:\Windows\System32\SEmhRuN.exe
  C:\Windows\System32\SEmhRuN.exe
  2⤵
  PID:9988
- C:\Windows\System32\iBKiNLq.exe
  C:\Windows\System32\iBKiNLq.exe
  2⤵
  PID:10012
- C:\Windows\System32\LpxubKd.exe
  C:\Windows\System32\LpxubKd.exe
  2⤵
  PID:10052
- C:\Windows\System32\NxfDKmE.exe
  C:\Windows\System32\NxfDKmE.exe
  2⤵
  PID:10096
- C:\Windows\System32\vMwcZSY.exe
  C:\Windows\System32\vMwcZSY.exe
  2⤵
  PID:10120
- C:\Windows\System32\qwupyoD.exe
  C:\Windows\System32\qwupyoD.exe
  2⤵
  PID:10140
- C:\Windows\System32\jikItDP.exe
  C:\Windows\System32\jikItDP.exe
  2⤵
  PID:10180
- C:\Windows\System32\jpgjqjI.exe
  C:\Windows\System32\jpgjqjI.exe
  2⤵
  PID:10204
- C:\Windows\System32\zCTVHwK.exe
  C:\Windows\System32\zCTVHwK.exe
  2⤵
  PID:10224
- C:\Windows\System32\ZxilDlK.exe
  C:\Windows\System32\ZxilDlK.exe
  2⤵
  PID:8528
- C:\Windows\System32\DgxXXUI.exe
  C:\Windows\System32\DgxXXUI.exe
  2⤵
  PID:9220
- C:\Windows\System32\PjHCYpk.exe
  C:\Windows\System32\PjHCYpk.exe
  2⤵
  PID:9320
- C:\Windows\System32\jQMiqat.exe
  C:\Windows\System32\jQMiqat.exe
  2⤵
  PID:9372
- C:\Windows\System32\mIcBBzV.exe
  C:\Windows\System32\mIcBBzV.exe
  2⤵
  PID:9484
- C:\Windows\System32\YqVhnwm.exe
  C:\Windows\System32\YqVhnwm.exe
  2⤵
  PID:9596
- C:\Windows\System32\FsyTLKs.exe
  C:\Windows\System32\FsyTLKs.exe
  2⤵
  PID:9652
- C:\Windows\System32\nzergTA.exe
  C:\Windows\System32\nzergTA.exe
  2⤵
  PID:9736
- C:\Windows\System32\RnhqUtX.exe
  C:\Windows\System32\RnhqUtX.exe
  2⤵
  PID:9752
- C:\Windows\System32\DApyYhJ.exe
  C:\Windows\System32\DApyYhJ.exe
  2⤵
  PID:9804
- C:\Windows\System32\jcNBMFI.exe
  C:\Windows\System32\jcNBMFI.exe
  2⤵
  PID:9924
- C:\Windows\System32\TRbsUtP.exe
  C:\Windows\System32\TRbsUtP.exe
  2⤵
  PID:10008
- C:\Windows\System32\ALFQOYc.exe
  C:\Windows\System32\ALFQOYc.exe
  2⤵
  PID:10028
- C:\Windows\System32\DnmJzKq.exe
  C:\Windows\System32\DnmJzKq.exe
  2⤵
  PID:10084
- C:\Windows\System32\iCRhPcf.exe
  C:\Windows\System32\iCRhPcf.exe
  2⤵
  PID:10132
- C:\Windows\System32\vdxWVAC.exe
  C:\Windows\System32\vdxWVAC.exe
  2⤵
  PID:10148
- C:\Windows\System32\TCQGlwb.exe
  C:\Windows\System32\TCQGlwb.exe
  2⤵
  PID:10192
- C:\Windows\System32\myByGbJ.exe
  C:\Windows\System32\myByGbJ.exe
  2⤵
  PID:7464
- C:\Windows\System32\eCmivuS.exe
  C:\Windows\System32\eCmivuS.exe
  2⤵
  PID:9520
- C:\Windows\System32\qhVitsF.exe
  C:\Windows\System32\qhVitsF.exe
  2⤵
  PID:9800
- C:\Windows\System32\fzKgPvD.exe
  C:\Windows\System32\fzKgPvD.exe
  2⤵
  PID:9900
- C:\Windows\System32\GNqrplf.exe
  C:\Windows\System32\GNqrplf.exe
  2⤵
  PID:10040
- C:\Windows\System32\vthnpfe.exe
  C:\Windows\System32\vthnpfe.exe
  2⤵
  PID:9348
- C:\Windows\System32\mzbmbeM.exe
  C:\Windows\System32\mzbmbeM.exe
  2⤵
  PID:9540
- C:\Windows\System32\dsfYVNj.exe
  C:\Windows\System32\dsfYVNj.exe
  2⤵
  PID:9952
- C:\Windows\System32\ZnppypJ.exe
  C:\Windows\System32\ZnppypJ.exe
  2⤵
  PID:10248
- C:\Windows\System32\JbDXnuU.exe
  C:\Windows\System32\JbDXnuU.exe
  2⤵
  PID:10276
- C:\Windows\System32\NKQoxTR.exe
  C:\Windows\System32\NKQoxTR.exe
  2⤵
  PID:10308
- C:\Windows\System32\eSHVMFr.exe
  C:\Windows\System32\eSHVMFr.exe
  2⤵
  PID:10336
- C:\Windows\System32\mdvduEA.exe
  C:\Windows\System32\mdvduEA.exe
  2⤵
  PID:10356
- C:\Windows\System32\yjqWAJO.exe
  C:\Windows\System32\yjqWAJO.exe
  2⤵
  PID:10380
- C:\Windows\System32\odngKea.exe
  C:\Windows\System32\odngKea.exe
  2⤵
  PID:10404
- C:\Windows\System32\HBEZOcU.exe
  C:\Windows\System32\HBEZOcU.exe
  2⤵
  PID:10460
- C:\Windows\System32\KRjchhL.exe
  C:\Windows\System32\KRjchhL.exe
  2⤵
  PID:10484
- C:\Windows\System32\RLqhOrv.exe
  C:\Windows\System32\RLqhOrv.exe
  2⤵
  PID:10500
- C:\Windows\System32\llgIdRa.exe
  C:\Windows\System32\llgIdRa.exe
  2⤵
  PID:10520
- C:\Windows\System32\uvbznbc.exe
  C:\Windows\System32\uvbznbc.exe
  2⤵
  PID:10544
- C:\Windows\System32\AMwUHVh.exe
  C:\Windows\System32\AMwUHVh.exe
  2⤵
  PID:10568
- C:\Windows\System32\HJzUAwf.exe
  C:\Windows\System32\HJzUAwf.exe
  2⤵
  PID:10592
- C:\Windows\System32\IeTqjni.exe
  C:\Windows\System32\IeTqjni.exe
  2⤵
  PID:10616
- C:\Windows\System32\mtsyIdi.exe
  C:\Windows\System32\mtsyIdi.exe
  2⤵
  PID:10652
- C:\Windows\System32\oQKQcnp.exe
  C:\Windows\System32\oQKQcnp.exe
  2⤵
  PID:10704
- C:\Windows\System32\LkdcrcE.exe
  C:\Windows\System32\LkdcrcE.exe
  2⤵
  PID:10724
- C:\Windows\System32\ppsyNIs.exe
  C:\Windows\System32\ppsyNIs.exe
  2⤵
  PID:10744
- C:\Windows\System32\IjwMVcB.exe
  C:\Windows\System32\IjwMVcB.exe
  2⤵
  PID:10768
- C:\Windows\System32\oEkIQWU.exe
  C:\Windows\System32\oEkIQWU.exe
  2⤵
  PID:10788
- C:\Windows\System32\TNLiQbo.exe
  C:\Windows\System32\TNLiQbo.exe
  2⤵
  PID:10824
- C:\Windows\System32\KKEcWoU.exe
  C:\Windows\System32\KKEcWoU.exe
  2⤵
  PID:10864
- C:\Windows\System32\uOzZqrS.exe
  C:\Windows\System32\uOzZqrS.exe
  2⤵
  PID:10892
- C:\Windows\System32\bBzUDnC.exe
  C:\Windows\System32\bBzUDnC.exe
  2⤵
  PID:10908
- C:\Windows\System32\zFrXpnf.exe
  C:\Windows\System32\zFrXpnf.exe
  2⤵
  PID:10936
- C:\Windows\System32\WEGlriX.exe
  C:\Windows\System32\WEGlriX.exe
  2⤵
  PID:11000
- C:\Windows\System32\kggpwZJ.exe
  C:\Windows\System32\kggpwZJ.exe
  2⤵
  PID:11028
- C:\Windows\System32\IrEWdKE.exe
  C:\Windows\System32\IrEWdKE.exe
  2⤵
  PID:11048
- C:\Windows\System32\yoaFVxg.exe
  C:\Windows\System32\yoaFVxg.exe
  2⤵
  PID:11064
- C:\Windows\System32\rGyiESf.exe
  C:\Windows\System32\rGyiESf.exe
  2⤵
  PID:11084
- C:\Windows\System32\ivHMvib.exe
  C:\Windows\System32\ivHMvib.exe
  2⤵
  PID:11108
- C:\Windows\System32\appQYtG.exe
  C:\Windows\System32\appQYtG.exe
  2⤵
  PID:11148
- C:\Windows\System32\KDwtZZJ.exe
  C:\Windows\System32\KDwtZZJ.exe
  2⤵
  PID:11168
- C:\Windows\System32\LchEHXB.exe
  C:\Windows\System32\LchEHXB.exe
  2⤵
  PID:11188
- C:\Windows\System32\AQHwayw.exe
  C:\Windows\System32\AQHwayw.exe
  2⤵
  PID:11220
- C:\Windows\System32\TEzbvzc.exe
  C:\Windows\System32\TEzbvzc.exe
  2⤵
  PID:11252
- C:\Windows\System32\tPgCMuv.exe
  C:\Windows\System32\tPgCMuv.exe
  2⤵
  PID:9696
- C:\Windows\System32\uyJhUri.exe
  C:\Windows\System32\uyJhUri.exe
  2⤵
  PID:10320
- C:\Windows\System32\HYEetCn.exe
  C:\Windows\System32\HYEetCn.exe
  2⤵
  PID:4612
- C:\Windows\System32\BoxwRAk.exe
  C:\Windows\System32\BoxwRAk.exe
  2⤵
  PID:10396
- C:\Windows\System32\ZaryZpv.exe
  C:\Windows\System32\ZaryZpv.exe
  2⤵
  PID:10468
- C:\Windows\System32\WZjkZIQ.exe
  C:\Windows\System32\WZjkZIQ.exe
  2⤵
  PID:10496
- C:\Windows\System32\vQDPEKg.exe
  C:\Windows\System32\vQDPEKg.exe
  2⤵
  PID:10512
- C:\Windows\System32\azFpgfW.exe
  C:\Windows\System32\azFpgfW.exe
  2⤵
  PID:10644
- C:\Windows\System32\FckKfJU.exe
  C:\Windows\System32\FckKfJU.exe
  2⤵
  PID:10664
- C:\Windows\System32\hWfhVVW.exe
  C:\Windows\System32\hWfhVVW.exe
  2⤵
  PID:10732
- C:\Windows\System32\vjtZLjY.exe
  C:\Windows\System32\vjtZLjY.exe
  2⤵
  PID:10816
- C:\Windows\System32\aHKBgIN.exe
  C:\Windows\System32\aHKBgIN.exe
  2⤵
  PID:10872
- C:\Windows\System32\blVKxMm.exe
  C:\Windows\System32\blVKxMm.exe
  2⤵
  PID:10880
- C:\Windows\System32\hsbCPmO.exe
  C:\Windows\System32\hsbCPmO.exe
  2⤵
  PID:11044
- C:\Windows\System32\jZjIllA.exe
  C:\Windows\System32\jZjIllA.exe
  2⤵
  PID:11104
- C:\Windows\System32\xXoCecH.exe
  C:\Windows\System32\xXoCecH.exe
  2⤵
  PID:11132
- C:\Windows\System32\RzqCEaO.exe
  C:\Windows\System32\RzqCEaO.exe
  2⤵
  PID:11184
- C:\Windows\System32\OTrSMJA.exe
  C:\Windows\System32\OTrSMJA.exe
  2⤵
  PID:11260
- C:\Windows\System32\aOjPmfE.exe
  C:\Windows\System32\aOjPmfE.exe
  2⤵
  PID:9556
- C:\Windows\System32\GBvmczh.exe
  C:\Windows\System32\GBvmczh.exe
  2⤵
  PID:10492
- C:\Windows\System32\FoKBXOU.exe
  C:\Windows\System32\FoKBXOU.exe
  2⤵
  PID:10584
- C:\Windows\System32\HbutkEU.exe
  C:\Windows\System32\HbutkEU.exe
  2⤵
  PID:10752
- C:\Windows\System32\LFpTpUY.exe
  C:\Windows\System32\LFpTpUY.exe
  2⤵
  PID:10932
- C:\Windows\System32\XRFlkAs.exe
  C:\Windows\System32\XRFlkAs.exe
  2⤵
  PID:11076
- C:\Windows\System32\YYBaOTb.exe
  C:\Windows\System32\YYBaOTb.exe
  2⤵
  PID:11176
- C:\Windows\System32\PvPMZJH.exe
  C:\Windows\System32\PvPMZJH.exe
  2⤵
  PID:10256
- C:\Windows\System32\jEiOWzM.exe
  C:\Windows\System32\jEiOWzM.exe
  2⤵
  PID:10668
- C:\Windows\System32\CGtnzoO.exe
  C:\Windows\System32\CGtnzoO.exe
  2⤵
  PID:10720
- C:\Windows\System32\idckcHb.exe
  C:\Windows\System32\idckcHb.exe
  2⤵
  PID:11060
- C:\Windows\System32\EiaWAxo.exe
  C:\Windows\System32\EiaWAxo.exe
  2⤵
  PID:10060
- C:\Windows\System32\TNstMrd.exe
  C:\Windows\System32\TNstMrd.exe
  2⤵
  PID:11268
- C:\Windows\System32\YtpZHLk.exe
  C:\Windows\System32\YtpZHLk.exe
  2⤵
  PID:11288
- C:\Windows\System32\YkXumAy.exe
  C:\Windows\System32\YkXumAy.exe
  2⤵
  PID:11332
- C:\Windows\System32\wKXLtHw.exe
  C:\Windows\System32\wKXLtHw.exe
  2⤵
  PID:11356
- C:\Windows\System32\JMaEYWu.exe
  C:\Windows\System32\JMaEYWu.exe
  2⤵
  PID:11400
- C:\Windows\System32\xiVYRSx.exe
  C:\Windows\System32\xiVYRSx.exe
  2⤵
  PID:11424
- C:\Windows\System32\BvxGbGi.exe
  C:\Windows\System32\BvxGbGi.exe
  2⤵
  PID:11456
- C:\Windows\System32\nIpybmg.exe
  C:\Windows\System32\nIpybmg.exe
  2⤵
  PID:11496
- C:\Windows\System32\oIcJVcu.exe
  C:\Windows\System32\oIcJVcu.exe
  2⤵
  PID:11516
- C:\Windows\System32\ZlYCGAr.exe
  C:\Windows\System32\ZlYCGAr.exe
  2⤵
  PID:11568
- C:\Windows\System32\zlOTyWV.exe
  C:\Windows\System32\zlOTyWV.exe
  2⤵
  PID:11596
- C:\Windows\System32\hgwVtJQ.exe
  C:\Windows\System32\hgwVtJQ.exe
  2⤵
  PID:11620
- C:\Windows\System32\OCuRtav.exe
  C:\Windows\System32\OCuRtav.exe
  2⤵
  PID:11640
- C:\Windows\System32\GVTYIpt.exe
  C:\Windows\System32\GVTYIpt.exe
  2⤵
  PID:11672
- C:\Windows\System32\ztyHRAQ.exe
  C:\Windows\System32\ztyHRAQ.exe
  2⤵
  PID:11716
- C:\Windows\System32\Mkgulmg.exe
  C:\Windows\System32\Mkgulmg.exe
  2⤵
  PID:11736
- C:\Windows\System32\RQFBDYa.exe
  C:\Windows\System32\RQFBDYa.exe
  2⤵
  PID:11768
- C:\Windows\System32\MSsNOTQ.exe
  C:\Windows\System32\MSsNOTQ.exe
  2⤵
  PID:11792
- C:\Windows\System32\NAQIRgA.exe
  C:\Windows\System32\NAQIRgA.exe
  2⤵
  PID:11816
- C:\Windows\System32\dVQIXfc.exe
  C:\Windows\System32\dVQIXfc.exe
  2⤵
  PID:11852
- C:\Windows\System32\hGHskzg.exe
  C:\Windows\System32\hGHskzg.exe
  2⤵
  PID:11876
- C:\Windows\System32\shjrnRl.exe
  C:\Windows\System32\shjrnRl.exe
  2⤵
  PID:11904
- C:\Windows\System32\DlbHxCd.exe
  C:\Windows\System32\DlbHxCd.exe
  2⤵
  PID:11936
- C:\Windows\System32\lACshFK.exe
  C:\Windows\System32\lACshFK.exe
  2⤵
  PID:11964
- C:\Windows\System32\pOFQnjp.exe
  C:\Windows\System32\pOFQnjp.exe
  2⤵
  PID:11980
- C:\Windows\System32\trXqZRj.exe
  C:\Windows\System32\trXqZRj.exe
  2⤵
  PID:12012
- C:\Windows\System32\MDjqcqL.exe
  C:\Windows\System32\MDjqcqL.exe
  2⤵
  PID:12036
- C:\Windows\System32\ThaNGNn.exe
  C:\Windows\System32\ThaNGNn.exe
  2⤵
  PID:12060
- C:\Windows\System32\WhtaDXD.exe
  C:\Windows\System32\WhtaDXD.exe
  2⤵
  PID:12076
- C:\Windows\System32\eThvBhc.exe
  C:\Windows\System32\eThvBhc.exe
  2⤵
  PID:12104
- C:\Windows\System32\rJaRXHO.exe
  C:\Windows\System32\rJaRXHO.exe
  2⤵
  PID:12152
- C:\Windows\System32\CvHUvKu.exe
  C:\Windows\System32\CvHUvKu.exe
  2⤵
  PID:12184
- C:\Windows\System32\odbpagy.exe
  C:\Windows\System32\odbpagy.exe
  2⤵
  PID:12208
- C:\Windows\System32\LnoLjwg.exe
  C:\Windows\System32\LnoLjwg.exe
  2⤵
  PID:12236
- C:\Windows\System32\WngzzMg.exe
  C:\Windows\System32\WngzzMg.exe
  2⤵
  PID:12264
- C:\Windows\System32\TJqDlVK.exe
  C:\Windows\System32\TJqDlVK.exe
  2⤵
  PID:10556
- C:\Windows\System32\FLmPkQe.exe
  C:\Windows\System32\FLmPkQe.exe
  2⤵
  PID:11304
- C:\Windows\System32\euhDDcq.exe
  C:\Windows\System32\euhDDcq.exe
  2⤵
  PID:11352
- C:\Windows\System32\UkBANye.exe
  C:\Windows\System32\UkBANye.exe
  2⤵
  PID:11368
- C:\Windows\System32\SdDSSLN.exe
  C:\Windows\System32\SdDSSLN.exe
  2⤵
  PID:11440
- C:\Windows\System32\BCepoMs.exe
  C:\Windows\System32\BCepoMs.exe
  2⤵
  PID:11540
- C:\Windows\System32\jhZZEoY.exe
  C:\Windows\System32\jhZZEoY.exe
  2⤵
  PID:11584
- C:\Windows\System32\CgJVstN.exe
  C:\Windows\System32\CgJVstN.exe
  2⤵
  PID:11628
- C:\Windows\System32\pIgyLHt.exe
  C:\Windows\System32\pIgyLHt.exe
  2⤵
  PID:11788
- C:\Windows\System32\VnFRXaF.exe
  C:\Windows\System32\VnFRXaF.exe
  2⤵
  PID:11868
- C:\Windows\System32\vXGPMCy.exe
  C:\Windows\System32\vXGPMCy.exe
  2⤵
  PID:11912
- C:\Windows\System32\vdXrIxM.exe
  C:\Windows\System32\vdXrIxM.exe
  2⤵
  PID:11988
- C:\Windows\System32\oWoEUMQ.exe
  C:\Windows\System32\oWoEUMQ.exe
  2⤵
  PID:12028
- C:\Windows\System32\gJoDQKy.exe
  C:\Windows\System32\gJoDQKy.exe
  2⤵
  PID:12084
- C:\Windows\System32\vgHTfcI.exe
  C:\Windows\System32\vgHTfcI.exe
  2⤵
  PID:12176
- C:\Windows\System32\ORnpOnW.exe
  C:\Windows\System32\ORnpOnW.exe
  2⤵
  PID:12216
- C:\Windows\System32\TrAFDmm.exe
  C:\Windows\System32\TrAFDmm.exe
  2⤵
  PID:10672
- C:\Windows\System32\ZmnUJvz.exe
  C:\Windows\System32\ZmnUJvz.exe
  2⤵
  PID:11284
- C:\Windows\System32\IClQTLr.exe
  C:\Windows\System32\IClQTLr.exe
  2⤵
  PID:11484
- C:\Windows\System32\bKgSOYy.exe
  C:\Windows\System32\bKgSOYy.exe
  2⤵
  PID:11612
- C:\Windows\System32\wtEsKGD.exe
  C:\Windows\System32\wtEsKGD.exe
  2⤵
  PID:11744
- C:\Windows\System32\pcYRnAb.exe
  C:\Windows\System32\pcYRnAb.exe
  2⤵
  PID:11952
- C:\Windows\System32\PhxjEIZ.exe
  C:\Windows\System32\PhxjEIZ.exe
  2⤵
  PID:12020
- C:\Windows\System32\PEsTGCQ.exe
  C:\Windows\System32\PEsTGCQ.exe
  2⤵
  PID:4408
- C:\Windows\System32\pZPRkwb.exe
  C:\Windows\System32\pZPRkwb.exe
  2⤵
  PID:10916
- C:\Windows\System32\FETJVvz.exe
  C:\Windows\System32\FETJVvz.exe
  2⤵
  PID:11392
- C:\Windows\System32\RSMgoYw.exe
  C:\Windows\System32\RSMgoYw.exe
  2⤵
  PID:11864
- C:\Windows\System32\nuneulp.exe
  C:\Windows\System32\nuneulp.exe
  2⤵
  PID:11728
- C:\Windows\System32\sRwlxoC.exe
  C:\Windows\System32\sRwlxoC.exe
  2⤵
  PID:11296
- C:\Windows\System32\rNEIcIE.exe
  C:\Windows\System32\rNEIcIE.exe
  2⤵
  PID:12304
- C:\Windows\System32\eOVVXrD.exe
  C:\Windows\System32\eOVVXrD.exe
  2⤵
  PID:12324
- C:\Windows\System32\YjeVRWg.exe
  C:\Windows\System32\YjeVRWg.exe
  2⤵
  PID:12352
- C:\Windows\System32\bGiFQLz.exe
  C:\Windows\System32\bGiFQLz.exe
  2⤵
  PID:12380
- C:\Windows\System32\PzBDJFn.exe
  C:\Windows\System32\PzBDJFn.exe
  2⤵
  PID:12412
- C:\Windows\System32\HAurZMJ.exe
  C:\Windows\System32\HAurZMJ.exe
  2⤵
  PID:12456
- C:\Windows\System32\KnRPKeQ.exe
  C:\Windows\System32\KnRPKeQ.exe
  2⤵
  PID:12472
- C:\Windows\System32\MGUxzAF.exe
  C:\Windows\System32\MGUxzAF.exe
  2⤵
  PID:12500
- C:\Windows\System32\LCdWfMJ.exe
  C:\Windows\System32\LCdWfMJ.exe
  2⤵
  PID:12516
- C:\Windows\System32\PONNKGD.exe
  C:\Windows\System32\PONNKGD.exe
  2⤵
  PID:12560
- C:\Windows\System32\WCFARnB.exe
  C:\Windows\System32\WCFARnB.exe
  2⤵
  PID:12584
- C:\Windows\System32\JVgkynv.exe
  C:\Windows\System32\JVgkynv.exe
  2⤵
  PID:12600
- C:\Windows\System32\iUZhhwn.exe
  C:\Windows\System32\iUZhhwn.exe
  2⤵
  PID:12620
- C:\Windows\System32\usznMTL.exe
  C:\Windows\System32\usznMTL.exe
  2⤵
  PID:12644
- C:\Windows\System32\XuEHZxQ.exe
  C:\Windows\System32\XuEHZxQ.exe
  2⤵
  PID:12672
- C:\Windows\System32\OyinEIU.exe
  C:\Windows\System32\OyinEIU.exe
  2⤵
  PID:12724
- C:\Windows\System32\VnitSZA.exe
  C:\Windows\System32\VnitSZA.exe
  2⤵
  PID:12744
- C:\Windows\System32\UtyXFuF.exe
  C:\Windows\System32\UtyXFuF.exe
  2⤵
  PID:12768
- C:\Windows\System32\tRgprFw.exe
  C:\Windows\System32\tRgprFw.exe
  2⤵
  PID:12800
- C:\Windows\System32\PxqShNl.exe
  C:\Windows\System32\PxqShNl.exe
  2⤵
  PID:12820
- C:\Windows\System32\pefwRbl.exe
  C:\Windows\System32\pefwRbl.exe
  2⤵
  PID:12852
- C:\Windows\System32\GHWovOt.exe
  C:\Windows\System32\GHWovOt.exe
  2⤵
  PID:12904
- C:\Windows\System32\QpjoKbG.exe
  C:\Windows\System32\QpjoKbG.exe
  2⤵
  PID:12924
- C:\Windows\System32\ZIfwyeP.exe
  C:\Windows\System32\ZIfwyeP.exe
  2⤵
  PID:12940
- C:\Windows\System32\MKdVbBm.exe
  C:\Windows\System32\MKdVbBm.exe
  2⤵
  PID:12960
- C:\Windows\System32\uzcDjid.exe
  C:\Windows\System32\uzcDjid.exe
  2⤵
  PID:12988
- C:\Windows\System32\pNbOSzH.exe
  C:\Windows\System32\pNbOSzH.exe
  2⤵
  PID:13048
- C:\Windows\System32\JpJXVbn.exe
  C:\Windows\System32\JpJXVbn.exe
  2⤵
  PID:13072
- C:\Windows\System32\mKxJlqe.exe
  C:\Windows\System32\mKxJlqe.exe
  2⤵
  PID:13100
- C:\Windows\System32\YaDyCYf.exe
  C:\Windows\System32\YaDyCYf.exe
  2⤵
  PID:13132
- C:\Windows\System32\xiytSdB.exe
  C:\Windows\System32\xiytSdB.exe
  2⤵
  PID:13152
- C:\Windows\System32\aaylBud.exe
  C:\Windows\System32\aaylBud.exe
  2⤵
  PID:13176
- C:\Windows\System32\rYuRuBm.exe
  C:\Windows\System32\rYuRuBm.exe
  2⤵
  PID:13192
- C:\Windows\System32\XVyQygS.exe
  C:\Windows\System32\XVyQygS.exe
  2⤵
  PID:13240
- C:\Windows\System32\VEfMpqK.exe
  C:\Windows\System32\VEfMpqK.exe
  2⤵
  PID:13260
- C:\Windows\System32\nljEiYH.exe
  C:\Windows\System32\nljEiYH.exe
  2⤵
  PID:13288
- C:\Windows\System32\TVaJCVV.exe
  C:\Windows\System32\TVaJCVV.exe
  2⤵
  PID:13304
- C:\Windows\System32\ctQFyDw.exe
  C:\Windows\System32\ctQFyDw.exe
  2⤵
  PID:12360
- C:\Windows\System32\LlbFDFg.exe
  C:\Windows\System32\LlbFDFg.exe
  2⤵
  PID:12388
- C:\Windows\System32\NJgpFMG.exe
  C:\Windows\System32\NJgpFMG.exe
  2⤵
  PID:12436
- C:\Windows\System32\KdAtQOR.exe
  C:\Windows\System32\KdAtQOR.exe
  2⤵
  PID:12492
- C:\Windows\System32\hWHiheO.exe
  C:\Windows\System32\hWHiheO.exe
  2⤵
  PID:12572
- C:\Windows\System32\yPhGpgI.exe
  C:\Windows\System32\yPhGpgI.exe
  2⤵
  PID:12616
- C:\Windows\System32\MrQucFg.exe
  C:\Windows\System32\MrQucFg.exe
  2⤵
  PID:12684
- C:\Windows\System32\vmLVywZ.exe
  C:\Windows\System32\vmLVywZ.exe
  2⤵
  PID:12732
- C:\Windows\System32\OkKbMYs.exe
  C:\Windows\System32\OkKbMYs.exe
  2⤵
  PID:12808
- C:\Windows\System32\YeFaVXS.exe
  C:\Windows\System32\YeFaVXS.exe
  2⤵
  PID:12888
- C:\Windows\System32\LYHXsIh.exe
  C:\Windows\System32\LYHXsIh.exe
  2⤵
  PID:12956
- C:\Windows\System32\CygYjat.exe
  C:\Windows\System32\CygYjat.exe
  2⤵
  PID:13032
- C:\Windows\System32\ZYEJieT.exe
  C:\Windows\System32\ZYEJieT.exe
  2⤵
  PID:13108
- C:\Windows\System32\ZNbrLIv.exe
  C:\Windows\System32\ZNbrLIv.exe
  2⤵
  PID:13160
- C:\Windows\System32\GwMrXeu.exe
  C:\Windows\System32\GwMrXeu.exe
  2⤵
  PID:13200
- C:\Windows\System32\MtQePoq.exe
  C:\Windows\System32\MtQePoq.exe
  2⤵
  PID:13284
- C:\Windows\System32\odRsJGp.exe
  C:\Windows\System32\odRsJGp.exe
  2⤵
  PID:12316
- C:\Windows\System32\qgvPSvH.exe
  C:\Windows\System32\qgvPSvH.exe
  2⤵
  PID:12428
- C:\Windows\System32\yjLFRyA.exe
  C:\Windows\System32\yjLFRyA.exe
  2⤵
  PID:12632
- C:\Windows\System32\dYhJVIO.exe
  C:\Windows\System32\dYhJVIO.exe
  2⤵
  PID:12816
- C:\Windows\System32\oduenlh.exe
  C:\Windows\System32\oduenlh.exe
  2⤵
  PID:12912
- C:\Windows\System32\wuKujtD.exe
  C:\Windows\System32\wuKujtD.exe
  2⤵
  PID:13116
- C:\Windows\System32\XNhMCjs.exe
  C:\Windows\System32\XNhMCjs.exe
  2⤵
  PID:13256
- C:\Windows\System32\PPZsOJu.exe
  C:\Windows\System32\PPZsOJu.exe
  2⤵
  PID:13224
- C:\Windows\System32\rwqglTk.exe
  C:\Windows\System32\rwqglTk.exe
  2⤵
  PID:13348
- C:\Windows\System32\cIjoTka.exe
  C:\Windows\System32\cIjoTka.exe
  2⤵
  PID:13392
- C:\Windows\System32\EwkMcJn.exe
  C:\Windows\System32\EwkMcJn.exe
  2⤵
  PID:13412
- C:\Windows\System32\UmaBMNc.exe
  C:\Windows\System32\UmaBMNc.exe
  2⤵
  PID:13440
- C:\Windows\System32\AyByIdp.exe
  C:\Windows\System32\AyByIdp.exe
  2⤵
  PID:13456
- C:\Windows\System32\FDVLMQS.exe
  C:\Windows\System32\FDVLMQS.exe
  2⤵
  PID:13472
- C:\Windows\System32\LiQNAPH.exe
  C:\Windows\System32\LiQNAPH.exe
  2⤵
  PID:13524
- C:\Windows\System32\duyjcCw.exe
  C:\Windows\System32\duyjcCw.exe
  2⤵
  PID:13568
- C:\Windows\System32\yAiNmNS.exe
  C:\Windows\System32\yAiNmNS.exe
  2⤵
  PID:13592
- C:\Windows\System32\OjmCnka.exe
  C:\Windows\System32\OjmCnka.exe
  2⤵
  PID:13616
- C:\Windows\System32\yHUEhEt.exe
  C:\Windows\System32\yHUEhEt.exe
  2⤵
  PID:13636
- C:\Windows\System32\tSwhQkx.exe
  C:\Windows\System32\tSwhQkx.exe
  2⤵
  PID:13660

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:14116

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AIHYgct.exe

Filesize
1.6MB

MD5
1dd26dafb9a8e6993ac7c43d803be249

SHA1
5c9b0dd0776f40e65b1393260ccc4af0afbea308

SHA256
2eb42e13cd9241c29cb56af45ab812d7d2d5a4d9b7b03dad9c1dfafc4bbdc887

SHA512
0687d3fd1012167bbb44efa589ec981767ff6a3166fa699cc868ef3a413bf4f3adcc0490cee275492dfbe9ad41a7ab6b46331d3fb9226a18bbcc9ac307f0d5d9

Download Submit
C:\Windows\System32\BLUdSHj.exe

Filesize
1.6MB

MD5
90ae422d61923eb580c649cff0cc034c

SHA1
727f5f947cae7cb2562aa9798e4f0d7264797443

SHA256
d1b0303c6b409b97de980a8a70aa1377a6480f5a33c16303fd8b7d0724d1547f

SHA512
e3b44523c56b871810ccb5c105f5f2a2e2ab897cce133c899eabc07ae0de819a9bff5067ca6354837f66823199b9245867f9628fc16128b43d8c8f1e1796aae2

Download Submit
C:\Windows\System32\BLlnKDv.exe

Filesize
1.6MB

MD5
dc962a4c2e64ff33c6109c1261cea613

SHA1
199a9c3487b3bb3f64fb6928d3050232f65662d7

SHA256
38517f68e6fbbaf0a83c37bd52ef7bc7055de1868e3775abae2f8476bd7d68c0

SHA512
130eeae9d1ec2171e978fcfaf6bf2417a168669e62f0eb428fbfe95bdf605b47c03d179772274d9dfa65c156a5ee42351a4426109eecc9abb477fc222489193a

Download Submit
C:\Windows\System32\DWuyNKZ.exe

Filesize
1.6MB

MD5
f60b73d8d35ec9dc7ffe31261c22ae12

SHA1
9b750a0edd0556fc34a9692fde6399d3227e79ed

SHA256
572abafaf1df0c457a47dc0666e3b4b39563ef3b4a60d1733784cb7ca5e1df93

SHA512
93bdbe07fea43f787fda1ef1f36101ce2e51ba1b9477a854f4fbb54391efe9a03aeb9d0b015c5fae9ae5769562139d704cde57541da24b19374be22d4df9635f

Download Submit
C:\Windows\System32\JTMzxsD.exe

Filesize
1.6MB

MD5
ded21943c0f3d0804064a567e898f685

SHA1
afc201a45c290a1c136de4d0a1a81a4bfcc8b1f0

SHA256
7312dc33a5fa1fb6808f1d932bab4f903e40476ec64349871adc41dec64a36b8

SHA512
cae8165af1a703754b803f990bfbad42f8645b85811993f63d2b92f0ffb1a69bba48bdca09a154b971782e1cea17e7258b80b2bb528d70a29f847c2c7619b0f0

Download Submit
C:\Windows\System32\JhzZXKM.exe

Filesize
1.6MB

MD5
cd668e07f9068e51aa83644c913d1d24

SHA1
39991af0cfafed3be3590cd0b89d795f62c2e395

SHA256
8cfe7474e6e5f89baf416f57ad9f1969958535632c1800508974c174ec2504d6

SHA512
28cf772fafd4ce13b7e69628a6a142f363ce5e5419aa6c3d265f2796a76fbf713d20684a5f5d2ac19659d5353faf4915cec3d1e5d38b6fb877bfd5226b3b128c

Download Submit
C:\Windows\System32\JpTqVXl.exe

Filesize
1.6MB

MD5
01f539ff567c749a807b53c91c0620a4

SHA1
2b39707d5798c489dcf3dc71c4054f81423ddb04

SHA256
7fb4d59d4ff0ab83bd38ec7878de10d55612890745912ec0fa712f3756f90b70

SHA512
23cfd7bfe7e2ffc76b1e5d1562c576ed078dec094429b99fb30770e35878639e42cfabf79142a28de354a7d2c03cae1685636f62247327b12df8452912351177

Download Submit
C:\Windows\System32\NkxMavJ.exe

Filesize
1.6MB

MD5
0586208a49fd3dd7320ee0561b3e00a1

SHA1
c14ffbddfd70fe67a03c4f909e17bc49cf395baf

SHA256
c7fd916eb10d428a3fc7b2462bc8ed9d447157d5518043e9a43be4b9f4f8f1bf

SHA512
e0942f7a9ec1f25d9d4d9e2d4efb1787f4618efeb2f7f20b7d36f0c6be1a62ea3ef1ead1d27285fd9c00ce48d369a838894fbcfceac0e63a49ce4959fdbf68ae

Download Submit
C:\Windows\System32\OMrdzWZ.exe

Filesize
1.6MB

MD5
65cf2c4582525941d6072d52dcc259aa

SHA1
35903f7589af89a27cac127c1f8df21bdfbf024d

SHA256
526dec7a1ef57185acc6695ef8fb1ffef549896fe9d4f739060d783f6737a06a

SHA512
ec3fb0ce08b6214045e1273cb6ed638a96943dbee4c9449bd7b6f83d88dbbe17e415e08c0afb6c88ac4f411a7bd1adbbebcc7da154a40a6c8dbc387d752489fd

Download Submit
C:\Windows\System32\OSQKsmc.exe

Filesize
1.6MB

MD5
722ed480fc38623d6678cf3bb7ba667d

SHA1
af790c7470ec5dc4d8204cd4e33ea777a671efdf

SHA256
1d785b3fc0a0fc5173e9d580e79a6b29d89f3c76835224d34c3dbf7f1de94f18

SHA512
2a7f7d1f4dbbdb29c3d98ca11ef73c95eb44300d711276e105fefc30fa30ce7d0d30b00b1021cf06107d7c5b1517c514146d8645e431a53e85362ee8f61a76a5

Download Submit
C:\Windows\System32\PVlshjH.exe

Filesize
1.6MB

MD5
1fdd16ad01fd68372fb3d2a48727f819

SHA1
bd224b91e4d5d81126813a22cf9354d1f333a07a

SHA256
9ed48577eb16f45c52f29ee6e3fca9b080a9cb4c797588a3551197b49c48d636

SHA512
8d5f04ffe92ea0cb42eb13a2163febafeabc74c5f1e0382ce806785cf4841de85f20909ae48bfa551b0f5cbcf27f0ae8bf759dbff19e84f9ad3078a249b2421d

Download Submit
C:\Windows\System32\QVUwDxP.exe

Filesize
1.6MB

MD5
cab783f6473da8e460af36188b33a7e2

SHA1
25987bd3111cc9c9e5f5526a32c4dc56a7adaf2a

SHA256
e4a65fab8d9650438953f287a9e04cac9a72e5565988b369c30d631053a76e37

SHA512
19c9295fbf8e37b578861f46b3fd46425b076e86f825131ca54cad88379e453baa0b302bf2b96db9d6dfaadcb015cc995bec354f8248ac69ddb8d78552fad800

Download Submit
C:\Windows\System32\RPWRAxs.exe

Filesize
1.6MB

MD5
a8e4fbb3f3cc6c824b946face972b199

SHA1
89004107ccab4e0d1ba28b5cdf4d2b2312e1cf4c

SHA256
18411de1464d5ad95632cf0c87ffec7360a8311e75712e10534d31ad8120691f

SHA512
b94bde312270176bfb5f66c02699d9b58c9e99c46c9c7edd392b94f85df9bcf2abbbbd18bfc62bca5db2d1e82e4f7e1b5157128708aac84c67b337bba4fc5739

Download Submit
C:\Windows\System32\SLTcqVu.exe

Filesize
1.6MB

MD5
a4f927b98dcae2998ca47ad440f220cd

SHA1
a7221ff8ed50dda4badb57263d4c2a0b4cc7cb37

SHA256
dd6e21a0e0b123b6b2322555be1b2f90a796abdf16b54e689b491a913bd11341

SHA512
6dec6a1628d6b92d4a510f395ff391e24cc786b23b437164c9d5bf791f553207c3a36c6251cf988fdd9435de0ee526985c1039b4f0097fc8d139ccdddc590053

Download Submit
C:\Windows\System32\TJutuTb.exe

Filesize
1.6MB

MD5
a454957a918893734c4afd58fcf2a398

SHA1
bef214dd7580842293a2a9c65c62241e6f6aed1d

SHA256
9ca70f631322ab15f69d4b078800c9ba75620508c1a7221b9b654f7f9d7253fd

SHA512
4a429e24430a7081ce932cb6032eb08044585574cb86900eda8822f891f63fa3f41173304902fef9eb9ff4bc3ce59deff29fbe4363a3a2b032e3b5125d11bb55

Download Submit
C:\Windows\System32\TTgioKJ.exe

Filesize
1.6MB

MD5
7c7c0e5b9ca28a27696a44c66e9e5a57

SHA1
2d928ca8e63c68b6b3ce347478688c116e32be14

SHA256
b5063757b658a9ab2be199417ee6b4415c753b4e75131bc9ec314da383a9d2d7

SHA512
8da544273462269ecd48ba01ecc1bba9d9f972eba0d633c6150e0149909049e0e7d2d6bf0dd3e943459c10b2552dc29e3614e6bc139f901ecaef281d97875796

Download Submit
C:\Windows\System32\TUuYNKk.exe

Filesize
1.6MB

MD5
f9b941e3f6778ea90c5b1bfd4c9e2a7f

SHA1
27423c28ef3f8eaf5dafd98ef72e825fab705263

SHA256
89d0dfbb6ab6ce7c26a71ce66be149bacd3ab36f893207ac67908b731820909f

SHA512
73df84a6894596891a1e90d34d2c28e1d9f2d3beb91af769c22ae187298374359f6fcaebb37994b7c7bb8d2f3a572a6da1de6418b4b1f1c8ef5ebeac1a438358

Download Submit
C:\Windows\System32\TbPFVLU.exe

Filesize
1.6MB

MD5
1e3961799f6da6f24db5ddfd2972c81f

SHA1
00cd9f475f3b1215331ab7d8f0a81d1ce8744492

SHA256
ce661256e7e30e1caf67df9fd09e44680ac5fe5646675c607a7de3a90fcdf790

SHA512
9967459844c9a13a0058818a0050c7abc9e26182b1beda5ec71889dd83352572cb99f10c38d0b24cc27ed8a809fc70cbab27cd8020203d1dbc0aa4bc6cf2dc3a

Download Submit
C:\Windows\System32\UrTJqZb.exe

Filesize
1.6MB

MD5
4890e726b5241d61ca9ce9bafaacc21a

SHA1
ccf97baf028ee25619a3c2d07907df73991bdcd6

SHA256
1eb743209c2062c06b3025ba55db4021110b2907df5fea5ba2874a7f449e6226

SHA512
34e01980a8d78e09569162360f49fd332f65ac65731aa8fb848e657b9e6c56cfabd06deb91352ce9704051bcc1e9798240353b90c0d05cb5114a8fbd55fa5d6d

Download Submit
C:\Windows\System32\UuYAGeq.exe

Filesize
1.6MB

MD5
bebd45d7e0f43c7420c700a090bdd9b6

SHA1
1ac512020af824fbe7f0ed403ee45a7273ca5315

SHA256
d10fb97e4126a1d870330dcf17bac0c12036c07187d7ab1dead21566a35b6ee1

SHA512
3c0aba5d370226045704512b67e604d6f7b8744a4282cb9eb7c37dce6cef9921a432c4ec9e8b76678fc24163889c5918a4bb52cb358aeac86a568b3d4c01755f

Download Submit
C:\Windows\System32\XZwafdd.exe

Filesize
1.6MB

MD5
27b180814b003c7a3bdf69f547ab28fe

SHA1
e2ccf02a895ed58d758e0f8066a36cc36bf086ab

SHA256
10bf322433e91a1d1eb57ca612b304da742a96c5a472efe0fa6838d7d75993e9

SHA512
39e261c2ab93dbf52f7fa58ca9d7d0aa70be79ebd2e3f5cc49aa8958ff32fbfbf0dd49f0056dd6b935639651adecfbbf09f0b8dd33f621b66317265feab2d596

Download Submit
C:\Windows\System32\YXZWRzC.exe

Filesize
1.6MB

MD5
de95f6b8c03f60b5eabf4598ae9eba98

SHA1
0aa60dc025ac31898ebfc337a2a5f5cf8ddb5ba0

SHA256
0286dc9f62fe8d45d6b2a623c25a4f04de72e78ea997c8555ca85afa156febd6

SHA512
37892ad234f92deb460802e4dcaca64a6f9bb85f89cdf93d9247ccb872ce3a1caee5636f9dc7da89fd167c4415ab8c96f4accc44782be572d0c37762cfaef8f7

Download Submit
C:\Windows\System32\ZdYDrnC.exe

Filesize
1.6MB

MD5
1e1bc31ef7ef05667a5bb18b0cd8a2e7

SHA1
efc51236f6dee6b903942ff35401a30d9c1c98fd

SHA256
2572ea3029fe195d734e747ed22e597e6401dbf5c45b2b9eda13cd473597eaf1

SHA512
fa228b2535fa172cbaf386e5e23aeb939e4941529f08372f70278eb7c191b013c00b453d9c875edb82b8424eb9cc45f5648d3d9237f000b0dda73a674dff8936

Download Submit
C:\Windows\System32\aQVzQBa.exe

Filesize
1.6MB

MD5
812ec080926763166bf6b60e59cbc80b

SHA1
bb455cd765fc1fe001eafc3bf097c9984b1127a1

SHA256
0db1b99197656aac8dbe0d885d7b669af587b1c7fa9c6f46ac9d6933218b142e

SHA512
397e8269c7f0a609f15453860712e119fce9419263fff6e01275097b78790fa76204fb1c79df1c7306f551c9e019188f289428af7167462e5a6d15a9c065d1a6

Download Submit
C:\Windows\System32\atfIqUI.exe

Filesize
1.6MB

MD5
56863e52474c90e65f6205db0b5d5851

SHA1
add2e4d757f6928a645161ef0526830102f9620e

SHA256
e9d37ccda65bd7f43f14c4b63b070eff5da4393e9ec8d7ebb56ecec42b6be82a

SHA512
044f10615063861eecd32b7c58fc18cb715f48020cc87fb946f8b42d712c41aeb431aba7a88cd921d1c29ae689941a116410134f95ce6cac84084d9f7c67cf0e

Download Submit
C:\Windows\System32\bxuSwMc.exe

Filesize
1.6MB

MD5
f27715f57c4f464cb9252795bb994539

SHA1
53deff53f629066cc56f42585df7c2362387b6a1

SHA256
6af33b78c8fe4cfef5c9a37ec695791cef43e70910b8b8015d4bba7ae9c782fa

SHA512
68ef1c7389505ea04b45088ec2a3507a638394a972f3c08f8402f2e4b5754fffc57b9c964681f4f2ee82ff1243bbdf7fa460ca6fe1124085955d08fb153397c2

Download Submit
C:\Windows\System32\ctBEfWW.exe

Filesize
1.6MB

MD5
8f7f447c8f3868bd127398c9b184961b

SHA1
12d7cb87bad38f3b7fdc6629c5d58d65a7ff3787

SHA256
c06454dba73fd4750481a67d015229abbbc49b4b141b02ca65eb4ef3a64502f6

SHA512
e3aa0d714219b375d12474319f573949655cfbd5f1ac54870acab436aafd4e4c00e1170a992c9635ba0b34ed07c04dfba610c7512abb52c1a760259281aaf299

Download Submit
C:\Windows\System32\dEMNgjS.exe

Filesize
1.6MB

MD5
baa5a34f1324d147917ef5d303e4f0d9

SHA1
1bd605dc0c50b43f9b2d8b790918412a47190e0c

SHA256
544089041a23a1599ba2e90f204c335540126f515b0f3b5ba0a0dc37edea321a

SHA512
60aee2e49a1684181e60acc98add3d4edfdf0e63be29075d20ce6768f401af31b012dda9ab409afd1368e5da40a23a5f337e9f395cb0f3e2ccb4683cfc6a40c6

Download Submit
C:\Windows\System32\eENAQdi.exe

Filesize
1.6MB

MD5
87e010bf7dc52612837ee69ec581cc59

SHA1
004d9e83a3ebe0a10431639a176a2bf1c845774a

SHA256
0aec43d6d72151db8983e2dba25ce46b5390bf8c17b10a3dda2199664662ece4

SHA512
7a075dd43379daefe9808ddfcdcf9ba4ce6c05e6835a3de6a82a99bec2f7326be68eed4b882140c2017fd3d5c69eaf6c1f89cc5f00e3c3a58bbd2d9b635a1fc6

Download Submit
C:\Windows\System32\eSavEyz.exe

Filesize
1.6MB

MD5
888e10948a74b9028ba35c9475628932

SHA1
a558373e46e4a0f3891583664c385e1b4d5d02b8

SHA256
0a98ba1ab6bebdfe8fb2f77c9e1ccc96c08fa1d7829f0bd164d4be47fb8a2db9

SHA512
1a1b2fc82826e3508999e94fb82f949e07912ad186f1878f56b9384658ed1dc5ba63eff2714b309f1ae3b248d9b19afc73a21063d71eeff45c7ac0929bf77a04

Download Submit
C:\Windows\System32\gepRVYv.exe

Filesize
1.6MB

MD5
403553b9351ee43b363c96a0bd41cfc2

SHA1
ae56f306ecc2bfda7a61b8591fe2bec9f6a1092f

SHA256
81a324432e689427f73cc08fe2d61bdab019a2172ccbdff22ce8f68da9abfca7

SHA512
c93846f2dcf74fee5e9d20424d075988a6269e252aa7dfd01441a1cae7499dee310118e13265f47211dd0ba2b839d86a891f5cb16a95a0fb362c86d06d05e19f

Download Submit
C:\Windows\System32\hxxsxlI.exe

Filesize
1.6MB

MD5
69577c717e0669c88917b3b5a4c76804

SHA1
edb47273da4503604ebd29e8d73ec7a534285368

SHA256
89d363bfb8ad3118a0f7524535e4dee9fc89dae8fc0a8226a2409694e2ca12ec

SHA512
096ec23399bb560c102763daf7b232373d967d1217b9a68e7e8271ad218c6317d78092dfd62f6b45cf2bc167abd373b0c66f70f2e9945bdd5be0926a91b44ffc

Download Submit
C:\Windows\System32\iYElkNw.exe

Filesize
1.6MB

MD5
b5dbbff2dd187d05aa066b266e3b379e

SHA1
0cb0684f345be0060a640bb9ecba03d21d1c9704

SHA256
b0750ce14a396b72b3c4160bb264fc4c57d6a10446795144eedb2c8df26b4d17

SHA512
d1201aebc576b12812e17585eb1be8e3de0c825547039a0efa45f11deaf7bd030b1a65f93a0290670d6a51d8e97e2ace18990b83957cc32bd82fef746628f93c

Download Submit
C:\Windows\System32\iZYxTbf.exe

Filesize
1.6MB

MD5
7b6a436d6932d1e8bf9c3ecbed412a65

SHA1
c0f91b9165d55b439e0f72c087c677f78b939c33

SHA256
745c9e9b6cbfa87e0e80ef274eb91b7dcbb9c3b7a95506f65bef23b1f8ba2e74

SHA512
9bdb4995c1101a5da196c9265154bd8a0459db96f91aa1cc62708d77bc10331bcdcc773da9949fa6eb4c256541f17f9116c8a26d3d0ecc1ebd111861730d3061

Download Submit
C:\Windows\System32\jObCKGO.exe

Filesize
1.6MB

MD5
468fa3048253bf95ce5c4878a1555c80

SHA1
0b8dc68ae31586089888f5b890350bac1ff82cfc

SHA256
bba29ce7f92d9dd59fabcee71d0be70f2169f51e14b9e8a8c63986a1fa0af381

SHA512
a154ea8173ed0d0afc2b1dfe4cbcb68a9aae7c86686dbedb4762bb66d473e6ecd5a70e1fb2305d7776efede57dd88df7be79e304183cd546755f7b194e66ba8c

Download Submit
C:\Windows\System32\rmFNYzI.exe

Filesize
1.6MB

MD5
4f748532a9feae90f9d6d078555aea16

SHA1
90f05814f993676e1f8b03585808cfbc5cab4f44

SHA256
6989d92f2767e30b5f9eb40e36c5b1cedfb0d7e0fc520ff7bfe5cb3e33fff890

SHA512
6943b22dde57bd7a5bd09234ed50ac401e0abd2615b256b0545873a087fd1a2fbbc2440940844b17e2bb95bfe6f77184f2ab5e766ce4c0a2c0d8bbadba19ebad

Download Submit
C:\Windows\System32\rqtJGpR.exe

Filesize
1.6MB

MD5
f2310e850c119e6811cabfdfefd85240

SHA1
e34d442840d6b1b047c3ee8dbeaefd4cd13ab40d

SHA256
59496217e867d363b3213b378f97bd09dae04ea3103b17af4ee724e64358ad8b

SHA512
a15dfab833fd934ea0323e98254a3567ee009b3f32ab1f3a9983b91e491a89668b0966c92c9515114b585819faf3912b32c085911a6176b39d8d4836ba167a0c

Download Submit
C:\Windows\System32\sPgkiib.exe

Filesize
1.6MB

MD5
ae679433df50bf305782f7fb7cd11bc4

SHA1
3eb8ec8aabbd2d4c31d577f53e29cf139e6cdc0f

SHA256
216d69c8ce007df113c5303e9bd4cfa12593d4c52223b8eee9db7099f6805f6e

SHA512
1a987cd71d281f3afb667f943b4b845b29d970c006477fe6e05915402a6b62e8902305183a924700bd473cd3f0e6a45baf4a62944e7d3226a8af50578636d534

Download Submit
C:\Windows\System32\tYLvZpt.exe

Filesize
1.6MB

MD5
05d40e83870a9e299f6e85d2b0991976

SHA1
c9bced8637f717b31a1caf19fa9417ddedcbcb4c

SHA256
90968ffa7ed71d30edbf504bd154c6f1eaf1d803d7b98e2d4cc845392d733027

SHA512
7009aa6abf833f7db0c5fc394439115c75f7d9c5d8bbac34fbc112181f36e5f9673e6eae0d0271fad701bf72d6f5c2116cdf4ad456ce323b9da108f67b6a67be

Download Submit
C:\Windows\System32\vZXrMbC.exe

Filesize
1.6MB

MD5
543b1be8392c92954b3197d93b1501da

SHA1
1cc25088b002c6ecbc40129e7d608ecf6c4548c4

SHA256
15a0eb4f5890352bb5265f1bde9a46c2479f78fa304c0b1b697bc231d392381e

SHA512
b6bb1dd1e6a71e41e4ee4bd894d187390dd1e5d594da069b2c1098a807cdd52d2840487cf91a5126cb8f620412710c78f5e416f62b9239769b469ba413a31878

Download Submit
C:\Windows\System32\wGYvGHL.exe

Filesize
1.6MB

MD5
41eac1c82df0bb2ac03973eac2413703

SHA1
16876d432318656d19de85a81d0c3ceaefb7c28f

SHA256
69cae8e1661760bbd25589462f5da56bb4e86eac7581494044f134b5f9aff850

SHA512
e6609f28cd31816332b46dca94e3272e25e98ef6ec1d0cae07e1421b8cea6790db23320e5826b22f9c11eb42c559848d36c6de09b1a8bbcfed2bc604f977a71a

Download Submit
C:\Windows\System32\xrAgKrY.exe

Filesize
1.6MB

MD5
b1fac547e30bd3cd273cf0d1ab3c53a8

SHA1
8f57fcce8facf13b46e6b9d4c609236e1753b95e

SHA256
adf0356702e99d9310cfc411caaaad4cdcb572ba6b015ec412246df8346e7f08

SHA512
5dde8273587b7baf2d7b08364e2681a8123e26c564ecf49a0ac13534a20db5e7f2907fce43b87ded4a518b87816bbdde695978929989fd5ef9d5e2ba4994a226

Download Submit
C:\Windows\System32\yQmMdff.exe

Filesize
1.6MB

MD5
39066e4b3b316e1a9628ed25e294035a

SHA1
1f7fb27e41c7e684c12cdf78b10886b562275e3a

SHA256
c814e5337b805423569b2854730b45705eb8415e09d3e0cf2a75320b585be97f

SHA512
3c8f24cd7447a992819025d12fafda8cc9949b3078995ace48b9f3f7488d1194054c925a202d69652f4a48744f700ca89faa8e96675fc3b60adb872556727ee2

Download Submit
memory/628-1-0x00000269B65E0000-0x00000269B65F0000-memory.dmp

Filesize
64KB

Download
memory/628-0-0x00007FF667DC0000-0x00007FF6681B1000-memory.dmp

Filesize
3.9MB

Download
memory/628-798-0x00007FF667DC0000-0x00007FF6681B1000-memory.dmp

Filesize
3.9MB

Download
memory/684-229-0x00007FF70CC40000-0x00007FF70D031000-memory.dmp

Filesize
3.9MB

Download
memory/684-2205-0x00007FF70CC40000-0x00007FF70D031000-memory.dmp

Filesize
3.9MB

Download
memory/888-202-0x00007FF7CCE30000-0x00007FF7CD221000-memory.dmp

Filesize
3.9MB

Download
memory/888-2183-0x00007FF7CCE30000-0x00007FF7CD221000-memory.dmp

Filesize
3.9MB

Download
memory/900-2251-0x00007FF697390000-0x00007FF697781000-memory.dmp

Filesize
3.9MB

Download
memory/900-204-0x00007FF697390000-0x00007FF697781000-memory.dmp

Filesize
3.9MB

Download
memory/900-1335-0x00007FF697390000-0x00007FF697781000-memory.dmp

Filesize
3.9MB

Download
memory/1452-2219-0x00007FF7F8410000-0x00007FF7F8801000-memory.dmp

Filesize
3.9MB

Download
memory/1452-228-0x00007FF7F8410000-0x00007FF7F8801000-memory.dmp

Filesize
3.9MB

Download
memory/1472-2216-0x00007FF710740000-0x00007FF710B31000-memory.dmp

Filesize
3.9MB

Download
memory/1472-233-0x00007FF710740000-0x00007FF710B31000-memory.dmp

Filesize
3.9MB

Download
memory/1760-222-0x00007FF61D510000-0x00007FF61D901000-memory.dmp

Filesize
3.9MB

Download
memory/1760-2195-0x00007FF61D510000-0x00007FF61D901000-memory.dmp

Filesize
3.9MB

Download
memory/1960-2207-0x00007FF628500000-0x00007FF6288F1000-memory.dmp

Filesize
3.9MB

Download
memory/1960-239-0x00007FF628500000-0x00007FF6288F1000-memory.dmp

Filesize
3.9MB

Download
memory/2316-2159-0x00007FF709210000-0x00007FF709601000-memory.dmp

Filesize
3.9MB

Download
memory/2316-7-0x00007FF709210000-0x00007FF709601000-memory.dmp

Filesize
3.9MB

Download
memory/2316-960-0x00007FF709210000-0x00007FF709601000-memory.dmp

Filesize
3.9MB

Download
memory/2364-1087-0x00007FF7E72B0000-0x00007FF7E76A1000-memory.dmp

Filesize
3.9MB

Download
memory/2364-14-0x00007FF7E72B0000-0x00007FF7E76A1000-memory.dmp

Filesize
3.9MB

Download
memory/2364-2161-0x00007FF7E72B0000-0x00007FF7E76A1000-memory.dmp

Filesize
3.9MB

Download
memory/2516-2193-0x00007FF6F1B40000-0x00007FF6F1F31000-memory.dmp

Filesize
3.9MB

Download
memory/2516-231-0x00007FF6F1B40000-0x00007FF6F1F31000-memory.dmp

Filesize
3.9MB

Download
memory/3020-2211-0x00007FF7CA8D0000-0x00007FF7CACC1000-memory.dmp

Filesize
3.9MB

Download
memory/3020-225-0x00007FF7CA8D0000-0x00007FF7CACC1000-memory.dmp

Filesize
3.9MB

Download
memory/3260-2177-0x00007FF738360000-0x00007FF738751000-memory.dmp

Filesize
3.9MB

Download
memory/3260-207-0x00007FF738360000-0x00007FF738751000-memory.dmp

Filesize
3.9MB

Download
memory/3704-184-0x00007FF734890000-0x00007FF734C81000-memory.dmp

Filesize
3.9MB

Download
memory/3704-2173-0x00007FF734890000-0x00007FF734C81000-memory.dmp

Filesize
3.9MB

Download
memory/3716-2169-0x00007FF7C9D60000-0x00007FF7CA151000-memory.dmp

Filesize
3.9MB

Download
memory/3716-161-0x00007FF7C9D60000-0x00007FF7CA151000-memory.dmp

Filesize
3.9MB

Download
memory/4212-223-0x00007FF654910000-0x00007FF654D01000-memory.dmp

Filesize
3.9MB

Download
memory/4212-2171-0x00007FF654910000-0x00007FF654D01000-memory.dmp

Filesize
3.9MB

Download
memory/4220-2214-0x00007FF6446C0000-0x00007FF644AB1000-memory.dmp

Filesize
3.9MB

Download
memory/4220-220-0x00007FF6446C0000-0x00007FF644AB1000-memory.dmp

Filesize
3.9MB

Download
memory/4264-1090-0x00007FF69CE40000-0x00007FF69D231000-memory.dmp

Filesize
3.9MB

Download
memory/4264-15-0x00007FF69CE40000-0x00007FF69D231000-memory.dmp

Filesize
3.9MB

Download
memory/4264-2163-0x00007FF69CE40000-0x00007FF69D231000-memory.dmp

Filesize
3.9MB

Download
memory/4320-226-0x00007FF6310B0000-0x00007FF6314A1000-memory.dmp

Filesize
3.9MB

Download
memory/4572-215-0x00007FF6E69A0000-0x00007FF6E6D91000-memory.dmp

Filesize
3.9MB

Download
memory/4572-2209-0x00007FF6E69A0000-0x00007FF6E6D91000-memory.dmp

Filesize
3.9MB

Download
memory/4576-2185-0x00007FF6E0B50000-0x00007FF6E0F41000-memory.dmp

Filesize
3.9MB

Download
memory/4576-218-0x00007FF6E0B50000-0x00007FF6E0F41000-memory.dmp

Filesize
3.9MB

Download
memory/4592-241-0x00007FF669030000-0x00007FF669421000-memory.dmp

Filesize
3.9MB

Download
memory/4592-2175-0x00007FF669030000-0x00007FF669421000-memory.dmp

Filesize
3.9MB

Download
memory/4708-2198-0x00007FF789960000-0x00007FF789D51000-memory.dmp

Filesize
3.9MB

Download
memory/4708-238-0x00007FF789960000-0x00007FF789D51000-memory.dmp

Filesize
3.9MB

Download
memory/4812-2201-0x00007FF7B6850000-0x00007FF7B6C41000-memory.dmp

Filesize
3.9MB

Download
memory/4812-206-0x00007FF7B6850000-0x00007FF7B6C41000-memory.dmp

Filesize
3.9MB

Download
memory/5084-236-0x00007FF7D74E0000-0x00007FF7D78D1000-memory.dmp

Filesize
3.9MB

Download
memory/5084-2181-0x00007FF7D74E0000-0x00007FF7D78D1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads