xmrig | 24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916a

Analysis

max time kernel
101s
max time network
103s
platform
windows10-2004_x64
resource
win10v2004-20250129-en
resource tags

arch:x64arch:x86image:win10v2004-20250129-enlocale:en-usos:windows10-2004-x64system
submitted
02-02-2025 00:20

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
Size

1.0MB
MD5

a9ee4723778ae475dbbb6419e11dbf00
SHA1

cd81d807637eb036441e587006bfe3bb19b370bf
SHA256

24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916a
SHA512

45af876f62a64e9f7ef9d1ba7869f6bba09568817ffcda54c169f2fa81470fa57cba42ea9df8df9e5d0fbfa2a6c5923c372b8a9c91757f329cba581033df6591
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5PbcmC3f/jU5C:knw9oUUEEDl37jcmWHD

Score

10^/10

xmrig miner upx

Malware Config

Signatures

Xmrig family
xmrig
xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 44 IoCs

miner

resource	yara_rule
behavioral2/memory/2812-436-0x00007FF6A3600000-0x00007FF6A39F1000-memory.dmp	xmrig
behavioral2/memory/3440-437-0x00007FF62C7F0000-0x00007FF62CBE1000-memory.dmp	xmrig
behavioral2/memory/1976-438-0x00007FF64C660000-0x00007FF64CA51000-memory.dmp	xmrig
behavioral2/memory/2220-439-0x00007FF6C2E00000-0x00007FF6C31F1000-memory.dmp	xmrig
behavioral2/memory/1796-440-0x00007FF628F10000-0x00007FF629301000-memory.dmp	xmrig
behavioral2/memory/4908-442-0x00007FF7C8DF0000-0x00007FF7C91E1000-memory.dmp	xmrig
behavioral2/memory/4932-441-0x00007FF74F080000-0x00007FF74F471000-memory.dmp	xmrig
behavioral2/memory/3936-9-0x00007FF629570000-0x00007FF629961000-memory.dmp	xmrig
behavioral2/memory/4448-444-0x00007FF6D9760000-0x00007FF6D9B51000-memory.dmp	xmrig
behavioral2/memory/1812-445-0x00007FF7BB790000-0x00007FF7BBB81000-memory.dmp	xmrig
behavioral2/memory/3980-447-0x00007FF645180000-0x00007FF645571000-memory.dmp	xmrig
behavioral2/memory/2012-446-0x00007FF610B30000-0x00007FF610F21000-memory.dmp	xmrig
behavioral2/memory/3960-443-0x00007FF6F94C0000-0x00007FF6F98B1000-memory.dmp	xmrig
behavioral2/memory/1684-455-0x00007FF6B1D50000-0x00007FF6B2141000-memory.dmp	xmrig
behavioral2/memory/5108-459-0x00007FF683E60000-0x00007FF684251000-memory.dmp	xmrig
behavioral2/memory/2704-465-0x00007FF68E290000-0x00007FF68E681000-memory.dmp	xmrig
behavioral2/memory/1368-466-0x00007FF73E810000-0x00007FF73EC01000-memory.dmp	xmrig
behavioral2/memory/3168-474-0x00007FF6737C0000-0x00007FF673BB1000-memory.dmp	xmrig
behavioral2/memory/2520-736-0x00007FF6405C0000-0x00007FF6409B1000-memory.dmp	xmrig
behavioral2/memory/3076-878-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp	xmrig
behavioral2/memory/3936-873-0x00007FF629570000-0x00007FF629961000-memory.dmp	xmrig
behavioral2/memory/3632-1121-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp	xmrig
behavioral2/memory/2224-1245-0x00007FF70A460000-0x00007FF70A851000-memory.dmp	xmrig
behavioral2/memory/3536-1352-0x00007FF751170000-0x00007FF751561000-memory.dmp	xmrig
behavioral2/memory/2204-1476-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp	xmrig
behavioral2/memory/4588-1479-0x00007FF7119F0000-0x00007FF711DE1000-memory.dmp	xmrig
behavioral2/memory/3936-2133-0x00007FF629570000-0x00007FF629961000-memory.dmp	xmrig
behavioral2/memory/3076-2159-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp	xmrig
behavioral2/memory/2204-2165-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp	xmrig
behavioral2/memory/3536-2167-0x00007FF751170000-0x00007FF751561000-memory.dmp	xmrig
behavioral2/memory/3632-2163-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp	xmrig
behavioral2/memory/2224-2161-0x00007FF70A460000-0x00007FF70A851000-memory.dmp	xmrig
behavioral2/memory/2220-2171-0x00007FF6C2E00000-0x00007FF6C31F1000-memory.dmp	xmrig
behavioral2/memory/4908-2185-0x00007FF7C8DF0000-0x00007FF7C91E1000-memory.dmp	xmrig
behavioral2/memory/3980-2189-0x00007FF645180000-0x00007FF645571000-memory.dmp	xmrig
behavioral2/memory/4932-2181-0x00007FF74F080000-0x00007FF74F471000-memory.dmp	xmrig
behavioral2/memory/3440-2177-0x00007FF62C7F0000-0x00007FF62CBE1000-memory.dmp	xmrig
behavioral2/memory/2812-2175-0x00007FF6A3600000-0x00007FF6A39F1000-memory.dmp	xmrig
behavioral2/memory/1976-2173-0x00007FF64C660000-0x00007FF64CA51000-memory.dmp	xmrig
behavioral2/memory/4588-2169-0x00007FF7119F0000-0x00007FF711DE1000-memory.dmp	xmrig
behavioral2/memory/1796-2191-0x00007FF628F10000-0x00007FF629301000-memory.dmp	xmrig
behavioral2/memory/1368-2229-0x00007FF73E810000-0x00007FF73EC01000-memory.dmp	xmrig
behavioral2/memory/5108-2224-0x00007FF683E60000-0x00007FF684251000-memory.dmp	xmrig
behavioral2/memory/2012-2187-0x00007FF610B30000-0x00007FF610F21000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3936	qchhxHu.exe
3076	YpaMunq.exe
3632	RypfJRY.exe
2224	kKcBuMn.exe
3536	HzslmKB.exe
2204	SxVBwcI.exe
4588	NldKpFQ.exe
3168	kzAWKhC.exe
2812	FajHmki.exe
3440	jQppvIT.exe
1976	zUrXIBT.exe
2220	PjqTUnJ.exe
1796	SgucZjs.exe
4932	ndCFviu.exe
4908	hGyCAck.exe
3960	ErAgcQh.exe
4448	jEZeYGP.exe
1812	ZvmqGEQ.exe
2012	zOPGYCi.exe
3980	jGmWzuh.exe
1684	QpCXGaF.exe
5108	YKEkrlH.exe
2704	LwKiLYu.exe
1368	cNfrfRj.exe
2256	fvKClgx.exe
3944	MiUbcCF.exe
112	GyJIrmh.exe
1440	JaLVFTw.exe
1120	ijcrAYn.exe
2412	bkTwnRE.exe
3004	HCDedIG.exe
4488	YGsSlTC.exe
1312	VDXxkGs.exe
1968	nMTwEYS.exe
3952	itszraY.exe
4100	grswzjN.exe
3976	KDLCIDT.exe
392	otaWOZB.exe
1672	fZsxszF.exe
1352	skihRFp.exe
3400	ghYqhoT.exe
2280	zEFyguW.exe
2832	HlrTwAv.exe
3432	bSTBFUV.exe
3508	dPjnNlH.exe
4072	yFTmWKg.exe
4356	xQKGlnK.exe
2644	gCFDGPG.exe
2364	fZUUgqb.exe
1772	GqizTMx.exe
1152	qfNDQLs.exe
1124	KloNSbb.exe
3032	lJufHLF.exe
4332	HoRXymK.exe
2052	FFkoBiU.exe
1048	dyohfnb.exe
3808	byMylfC.exe
512	NxUjvaV.exe
3688	YlZFFbT.exe
3516	LcdcoCj.exe
4956	qXkuGij.exe
3044	aePTqSP.exe
840	kxvtjss.exe
3484	sodUWhS.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\nMTwEYS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\QjOzrGF.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\gWjOqnS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\ajshPdH.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\OzRIcwh.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\qZpNDPS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\cFTPGBQ.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\HXZhKTq.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\vcAuFkw.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\YLlCiHp.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\uBcSFtc.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\nZoAdrS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\lGroZvV.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\tIxnrHg.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\SbPgrDp.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\EvAYxXK.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\OmAxYos.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\lqlSzne.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\eWKxoGw.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\HOWeqdQ.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\jEZeYGP.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\Ouiqvjw.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\VLxnhmS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\QNkZGbT.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\HlrTwAv.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\WnvhKnS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\DYWasTS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\XNAxjWj.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\kazvuRg.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\qJRQBLi.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\CGsfIaf.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\LwKiLYu.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\vwQGWWw.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\vodVOci.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\yBZvlDo.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\JRrrMVS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\xiBZwQy.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\PlanRsi.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\BTAQZgt.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\BdMCchX.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\wtZRioT.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\deAMKAP.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\jFdTBRV.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\sClGlbS.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\qLwnftx.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\yVBUezf.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\ABTdkOB.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\qYMSLAW.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\xhGZZyn.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\bsHvZyI.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\sHekrMw.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\olwsMrj.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\QvAMkqh.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\EUDZBES.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\aVLWJKV.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\eHePvsb.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\rHRgLQF.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\djVqqgC.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\cfGdIjp.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\daOKLmd.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\JVxxnrQ.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\FNKgHJA.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\JiHmhgD.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
File created	C:\Windows\System32\RngGiks.exe	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2520-0-0x00007FF6405C0000-0x00007FF6409B1000-memory.dmp	upx
behavioral2/files/0x000c000000023b8e-5.dat	upx
behavioral2/files/0x0007000000023c78-11.dat	upx
behavioral2/memory/3076-15-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp	upx
behavioral2/files/0x0007000000023c79-24.dat	upx
behavioral2/files/0x0007000000023c7a-27.dat	upx
behavioral2/files/0x0007000000023c7b-37.dat	upx
behavioral2/files/0x0007000000023c7e-48.dat	upx
behavioral2/files/0x0007000000023c7f-57.dat	upx
behavioral2/files/0x0007000000023c81-67.dat	upx
behavioral2/files/0x0007000000023c82-75.dat	upx
behavioral2/files/0x0007000000023c84-82.dat	upx
behavioral2/files/0x0007000000023c89-105.dat	upx
behavioral2/files/0x0007000000023c92-152.dat	upx
behavioral2/memory/4588-435-0x00007FF7119F0000-0x00007FF711DE1000-memory.dmp	upx
behavioral2/memory/2812-436-0x00007FF6A3600000-0x00007FF6A39F1000-memory.dmp	upx
behavioral2/files/0x0007000000023c95-167.dat	upx
behavioral2/files/0x0007000000023c94-162.dat	upx
behavioral2/files/0x0007000000023c93-157.dat	upx
behavioral2/files/0x0007000000023c91-147.dat	upx
behavioral2/files/0x0007000000023c90-142.dat	upx
behavioral2/files/0x0007000000023c8f-140.dat	upx
behavioral2/files/0x0007000000023c8e-132.dat	upx
behavioral2/files/0x0007000000023c8d-127.dat	upx
behavioral2/files/0x0007000000023c8c-122.dat	upx
behavioral2/files/0x0007000000023c8b-117.dat	upx
behavioral2/files/0x0007000000023c8a-112.dat	upx
behavioral2/files/0x0007000000023c88-102.dat	upx
behavioral2/files/0x0007000000023c87-100.dat	upx
behavioral2/files/0x0007000000023c86-95.dat	upx
behavioral2/files/0x0007000000023c85-87.dat	upx
behavioral2/files/0x0007000000023c83-77.dat	upx
behavioral2/files/0x0007000000023c80-62.dat	upx
behavioral2/files/0x0007000000023c7d-50.dat	upx
behavioral2/files/0x0007000000023c7c-45.dat	upx
behavioral2/memory/2204-33-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp	upx
behavioral2/memory/3536-29-0x00007FF751170000-0x00007FF751561000-memory.dmp	upx
behavioral2/memory/2224-22-0x00007FF70A460000-0x00007FF70A851000-memory.dmp	upx
behavioral2/memory/3440-437-0x00007FF62C7F0000-0x00007FF62CBE1000-memory.dmp	upx
behavioral2/memory/1976-438-0x00007FF64C660000-0x00007FF64CA51000-memory.dmp	upx
behavioral2/memory/2220-439-0x00007FF6C2E00000-0x00007FF6C31F1000-memory.dmp	upx
behavioral2/memory/1796-440-0x00007FF628F10000-0x00007FF629301000-memory.dmp	upx
behavioral2/memory/4908-442-0x00007FF7C8DF0000-0x00007FF7C91E1000-memory.dmp	upx
behavioral2/memory/4932-441-0x00007FF74F080000-0x00007FF74F471000-memory.dmp	upx
behavioral2/files/0x0008000000023c77-17.dat	upx
behavioral2/memory/3632-16-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp	upx
behavioral2/memory/3936-9-0x00007FF629570000-0x00007FF629961000-memory.dmp	upx
behavioral2/memory/4448-444-0x00007FF6D9760000-0x00007FF6D9B51000-memory.dmp	upx
behavioral2/memory/1812-445-0x00007FF7BB790000-0x00007FF7BBB81000-memory.dmp	upx
behavioral2/memory/3980-447-0x00007FF645180000-0x00007FF645571000-memory.dmp	upx
behavioral2/memory/2012-446-0x00007FF610B30000-0x00007FF610F21000-memory.dmp	upx
behavioral2/memory/3960-443-0x00007FF6F94C0000-0x00007FF6F98B1000-memory.dmp	upx
behavioral2/memory/1684-455-0x00007FF6B1D50000-0x00007FF6B2141000-memory.dmp	upx
behavioral2/memory/5108-459-0x00007FF683E60000-0x00007FF684251000-memory.dmp	upx
behavioral2/memory/2704-465-0x00007FF68E290000-0x00007FF68E681000-memory.dmp	upx
behavioral2/memory/1368-466-0x00007FF73E810000-0x00007FF73EC01000-memory.dmp	upx
behavioral2/memory/3168-474-0x00007FF6737C0000-0x00007FF673BB1000-memory.dmp	upx
behavioral2/memory/2520-736-0x00007FF6405C0000-0x00007FF6409B1000-memory.dmp	upx
behavioral2/memory/3076-878-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp	upx
behavioral2/memory/3936-873-0x00007FF629570000-0x00007FF629961000-memory.dmp	upx
behavioral2/memory/3632-1121-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp	upx
behavioral2/memory/2224-1245-0x00007FF70A460000-0x00007FF70A851000-memory.dmp	upx
behavioral2/memory/3536-1352-0x00007FF751170000-0x00007FF751561000-memory.dmp	upx
behavioral2/memory/2204-1476-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp	upx

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\26\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	14208	dwm.exe
Token: SeChangeNotifyPrivilege	14208	dwm.exe
Token: 33	14208	dwm.exe
Token: SeIncBasePriorityPrivilege	14208	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2520 wrote to memory of 3936	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	84
PID 2520 wrote to memory of 3936	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	84
PID 2520 wrote to memory of 3076	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	85
PID 2520 wrote to memory of 3076	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	85
PID 2520 wrote to memory of 3632	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	86
PID 2520 wrote to memory of 3632	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	86
PID 2520 wrote to memory of 2224	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	87
PID 2520 wrote to memory of 2224	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	87
PID 2520 wrote to memory of 3536	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	88
PID 2520 wrote to memory of 3536	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	88
PID 2520 wrote to memory of 2204	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	90
PID 2520 wrote to memory of 2204	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	90
PID 2520 wrote to memory of 4588	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	91
PID 2520 wrote to memory of 4588	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	91
PID 2520 wrote to memory of 3168	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	92
PID 2520 wrote to memory of 3168	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	92
PID 2520 wrote to memory of 2812	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	93
PID 2520 wrote to memory of 2812	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	93
PID 2520 wrote to memory of 3440	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	94
PID 2520 wrote to memory of 3440	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	94
PID 2520 wrote to memory of 1976	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	95
PID 2520 wrote to memory of 1976	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	95
PID 2520 wrote to memory of 2220	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	96
PID 2520 wrote to memory of 2220	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	96
PID 2520 wrote to memory of 1796	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	97
PID 2520 wrote to memory of 1796	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	97
PID 2520 wrote to memory of 4932	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	98
PID 2520 wrote to memory of 4932	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	98
PID 2520 wrote to memory of 4908	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	99
PID 2520 wrote to memory of 4908	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	99
PID 2520 wrote to memory of 3960	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	100
PID 2520 wrote to memory of 3960	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	100
PID 2520 wrote to memory of 4448	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	101
PID 2520 wrote to memory of 4448	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	101
PID 2520 wrote to memory of 1812	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	102
PID 2520 wrote to memory of 1812	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	102
PID 2520 wrote to memory of 2012	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	103
PID 2520 wrote to memory of 2012	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	103
PID 2520 wrote to memory of 3980	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	104
PID 2520 wrote to memory of 3980	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	104
PID 2520 wrote to memory of 1684	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	105
PID 2520 wrote to memory of 1684	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	105
PID 2520 wrote to memory of 5108	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	106
PID 2520 wrote to memory of 5108	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	106
PID 2520 wrote to memory of 2704	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	107
PID 2520 wrote to memory of 2704	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	107
PID 2520 wrote to memory of 1368	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	108
PID 2520 wrote to memory of 1368	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	108
PID 2520 wrote to memory of 2256	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	109
PID 2520 wrote to memory of 2256	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	109
PID 2520 wrote to memory of 3944	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	110
PID 2520 wrote to memory of 3944	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	110
PID 2520 wrote to memory of 112	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	111
PID 2520 wrote to memory of 112	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	111
PID 2520 wrote to memory of 1440	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	112
PID 2520 wrote to memory of 1440	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	112
PID 2520 wrote to memory of 1120	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	113
PID 2520 wrote to memory of 1120	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	113
PID 2520 wrote to memory of 2412	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	114
PID 2520 wrote to memory of 2412	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	114
PID 2520 wrote to memory of 3004	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	115
PID 2520 wrote to memory of 3004	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	115
PID 2520 wrote to memory of 4488	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	116
PID 2520 wrote to memory of 4488	2520	24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe	116

C:\Users\Admin\AppData\Local\Temp\24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe
"C:\Users\Admin\AppData\Local\Temp\24bdaed4cdd7effa86acaf817655907cf67fcd84b49a6ad46423627dcff5916aN.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2520
- C:\Windows\System32\qchhxHu.exe
  C:\Windows\System32\qchhxHu.exe
  2⤵
  - Executes dropped EXE
  PID:3936
- C:\Windows\System32\YpaMunq.exe
  C:\Windows\System32\YpaMunq.exe
  2⤵
  - Executes dropped EXE
  PID:3076
- C:\Windows\System32\RypfJRY.exe
  C:\Windows\System32\RypfJRY.exe
  2⤵
  - Executes dropped EXE
  PID:3632
- C:\Windows\System32\kKcBuMn.exe
  C:\Windows\System32\kKcBuMn.exe
  2⤵
  - Executes dropped EXE
  PID:2224
- C:\Windows\System32\HzslmKB.exe
  C:\Windows\System32\HzslmKB.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\SxVBwcI.exe
  C:\Windows\System32\SxVBwcI.exe
  2⤵
  - Executes dropped EXE
  PID:2204
- C:\Windows\System32\NldKpFQ.exe
  C:\Windows\System32\NldKpFQ.exe
  2⤵
  - Executes dropped EXE
  PID:4588
- C:\Windows\System32\kzAWKhC.exe
  C:\Windows\System32\kzAWKhC.exe
  2⤵
  - Executes dropped EXE
  PID:3168
- C:\Windows\System32\FajHmki.exe
  C:\Windows\System32\FajHmki.exe
  2⤵
  - Executes dropped EXE
  PID:2812
- C:\Windows\System32\jQppvIT.exe
  C:\Windows\System32\jQppvIT.exe
  2⤵
  - Executes dropped EXE
  PID:3440
- C:\Windows\System32\zUrXIBT.exe
  C:\Windows\System32\zUrXIBT.exe
  2⤵
  - Executes dropped EXE
  PID:1976
- C:\Windows\System32\PjqTUnJ.exe
  C:\Windows\System32\PjqTUnJ.exe
  2⤵
  - Executes dropped EXE
  PID:2220
- C:\Windows\System32\SgucZjs.exe
  C:\Windows\System32\SgucZjs.exe
  2⤵
  - Executes dropped EXE
  PID:1796
- C:\Windows\System32\ndCFviu.exe
  C:\Windows\System32\ndCFviu.exe
  2⤵
  - Executes dropped EXE
  PID:4932
- C:\Windows\System32\hGyCAck.exe
  C:\Windows\System32\hGyCAck.exe
  2⤵
  - Executes dropped EXE
  PID:4908
- C:\Windows\System32\ErAgcQh.exe
  C:\Windows\System32\ErAgcQh.exe
  2⤵
  - Executes dropped EXE
  PID:3960
- C:\Windows\System32\jEZeYGP.exe
  C:\Windows\System32\jEZeYGP.exe
  2⤵
  - Executes dropped EXE
  PID:4448
- C:\Windows\System32\ZvmqGEQ.exe
  C:\Windows\System32\ZvmqGEQ.exe
  2⤵
  - Executes dropped EXE
  PID:1812
- C:\Windows\System32\zOPGYCi.exe
  C:\Windows\System32\zOPGYCi.exe
  2⤵
  - Executes dropped EXE
  PID:2012
- C:\Windows\System32\jGmWzuh.exe
  C:\Windows\System32\jGmWzuh.exe
  2⤵
  - Executes dropped EXE
  PID:3980
- C:\Windows\System32\QpCXGaF.exe
  C:\Windows\System32\QpCXGaF.exe
  2⤵
  - Executes dropped EXE
  PID:1684
- C:\Windows\System32\YKEkrlH.exe
  C:\Windows\System32\YKEkrlH.exe
  2⤵
  - Executes dropped EXE
  PID:5108
- C:\Windows\System32\LwKiLYu.exe
  C:\Windows\System32\LwKiLYu.exe
  2⤵
  - Executes dropped EXE
  PID:2704
- C:\Windows\System32\cNfrfRj.exe
  C:\Windows\System32\cNfrfRj.exe
  2⤵
  - Executes dropped EXE
  PID:1368
- C:\Windows\System32\fvKClgx.exe
  C:\Windows\System32\fvKClgx.exe
  2⤵
  - Executes dropped EXE
  PID:2256
- C:\Windows\System32\MiUbcCF.exe
  C:\Windows\System32\MiUbcCF.exe
  2⤵
  - Executes dropped EXE
  PID:3944
- C:\Windows\System32\GyJIrmh.exe
  C:\Windows\System32\GyJIrmh.exe
  2⤵
  - Executes dropped EXE
  PID:112
- C:\Windows\System32\JaLVFTw.exe
  C:\Windows\System32\JaLVFTw.exe
  2⤵
  - Executes dropped EXE
  PID:1440
- C:\Windows\System32\ijcrAYn.exe
  C:\Windows\System32\ijcrAYn.exe
  2⤵
  - Executes dropped EXE
  PID:1120
- C:\Windows\System32\bkTwnRE.exe
  C:\Windows\System32\bkTwnRE.exe
  2⤵
  - Executes dropped EXE
  PID:2412
- C:\Windows\System32\HCDedIG.exe
  C:\Windows\System32\HCDedIG.exe
  2⤵
  - Executes dropped EXE
  PID:3004
- C:\Windows\System32\YGsSlTC.exe
  C:\Windows\System32\YGsSlTC.exe
  2⤵
  - Executes dropped EXE
  PID:4488
- C:\Windows\System32\VDXxkGs.exe
  C:\Windows\System32\VDXxkGs.exe
  2⤵
  - Executes dropped EXE
  PID:1312
- C:\Windows\System32\nMTwEYS.exe
  C:\Windows\System32\nMTwEYS.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\itszraY.exe
  C:\Windows\System32\itszraY.exe
  2⤵
  - Executes dropped EXE
  PID:3952
- C:\Windows\System32\grswzjN.exe
  C:\Windows\System32\grswzjN.exe
  2⤵
  - Executes dropped EXE
  PID:4100
- C:\Windows\System32\KDLCIDT.exe
  C:\Windows\System32\KDLCIDT.exe
  2⤵
  - Executes dropped EXE
  PID:3976
- C:\Windows\System32\otaWOZB.exe
  C:\Windows\System32\otaWOZB.exe
  2⤵
  - Executes dropped EXE
  PID:392
- C:\Windows\System32\fZsxszF.exe
  C:\Windows\System32\fZsxszF.exe
  2⤵
  - Executes dropped EXE
  PID:1672
- C:\Windows\System32\skihRFp.exe
  C:\Windows\System32\skihRFp.exe
  2⤵
  - Executes dropped EXE
  PID:1352
- C:\Windows\System32\ghYqhoT.exe
  C:\Windows\System32\ghYqhoT.exe
  2⤵
  - Executes dropped EXE
  PID:3400
- C:\Windows\System32\zEFyguW.exe
  C:\Windows\System32\zEFyguW.exe
  2⤵
  - Executes dropped EXE
  PID:2280
- C:\Windows\System32\HlrTwAv.exe
  C:\Windows\System32\HlrTwAv.exe
  2⤵
  - Executes dropped EXE
  PID:2832
- C:\Windows\System32\bSTBFUV.exe
  C:\Windows\System32\bSTBFUV.exe
  2⤵
  - Executes dropped EXE
  PID:3432
- C:\Windows\System32\dPjnNlH.exe
  C:\Windows\System32\dPjnNlH.exe
  2⤵
  - Executes dropped EXE
  PID:3508
- C:\Windows\System32\yFTmWKg.exe
  C:\Windows\System32\yFTmWKg.exe
  2⤵
  - Executes dropped EXE
  PID:4072
- C:\Windows\System32\xQKGlnK.exe
  C:\Windows\System32\xQKGlnK.exe
  2⤵
  - Executes dropped EXE
  PID:4356
- C:\Windows\System32\gCFDGPG.exe
  C:\Windows\System32\gCFDGPG.exe
  2⤵
  - Executes dropped EXE
  PID:2644
- C:\Windows\System32\fZUUgqb.exe
  C:\Windows\System32\fZUUgqb.exe
  2⤵
  - Executes dropped EXE
  PID:2364
- C:\Windows\System32\GqizTMx.exe
  C:\Windows\System32\GqizTMx.exe
  2⤵
  - Executes dropped EXE
  PID:1772
- C:\Windows\System32\qfNDQLs.exe
  C:\Windows\System32\qfNDQLs.exe
  2⤵
  - Executes dropped EXE
  PID:1152
- C:\Windows\System32\KloNSbb.exe
  C:\Windows\System32\KloNSbb.exe
  2⤵
  - Executes dropped EXE
  PID:1124
- C:\Windows\System32\lJufHLF.exe
  C:\Windows\System32\lJufHLF.exe
  2⤵
  - Executes dropped EXE
  PID:3032
- C:\Windows\System32\HoRXymK.exe
  C:\Windows\System32\HoRXymK.exe
  2⤵
  - Executes dropped EXE
  PID:4332
- C:\Windows\System32\FFkoBiU.exe
  C:\Windows\System32\FFkoBiU.exe
  2⤵
  - Executes dropped EXE
  PID:2052
- C:\Windows\System32\dyohfnb.exe
  C:\Windows\System32\dyohfnb.exe
  2⤵
  - Executes dropped EXE
  PID:1048
- C:\Windows\System32\byMylfC.exe
  C:\Windows\System32\byMylfC.exe
  2⤵
  - Executes dropped EXE
  PID:3808
- C:\Windows\System32\NxUjvaV.exe
  C:\Windows\System32\NxUjvaV.exe
  2⤵
  - Executes dropped EXE
  PID:512
- C:\Windows\System32\YlZFFbT.exe
  C:\Windows\System32\YlZFFbT.exe
  2⤵
  - Executes dropped EXE
  PID:3688
- C:\Windows\System32\LcdcoCj.exe
  C:\Windows\System32\LcdcoCj.exe
  2⤵
  - Executes dropped EXE
  PID:3516
- C:\Windows\System32\qXkuGij.exe
  C:\Windows\System32\qXkuGij.exe
  2⤵
  - Executes dropped EXE
  PID:4956
- C:\Windows\System32\aePTqSP.exe
  C:\Windows\System32\aePTqSP.exe
  2⤵
  - Executes dropped EXE
  PID:3044
- C:\Windows\System32\kxvtjss.exe
  C:\Windows\System32\kxvtjss.exe
  2⤵
  - Executes dropped EXE
  PID:840
- C:\Windows\System32\sodUWhS.exe
  C:\Windows\System32\sodUWhS.exe
  2⤵
  - Executes dropped EXE
  PID:3484
- C:\Windows\System32\PpUuifE.exe
  C:\Windows\System32\PpUuifE.exe
  2⤵
  PID:1100
- C:\Windows\System32\udzJTpR.exe
  C:\Windows\System32\udzJTpR.exe
  2⤵
  PID:1540
- C:\Windows\System32\qyRQtqM.exe
  C:\Windows\System32\qyRQtqM.exe
  2⤵
  PID:3244
- C:\Windows\System32\csEZAwu.exe
  C:\Windows\System32\csEZAwu.exe
  2⤵
  PID:3948
- C:\Windows\System32\vcAuFkw.exe
  C:\Windows\System32\vcAuFkw.exe
  2⤵
  PID:1704
- C:\Windows\System32\JVxxnrQ.exe
  C:\Windows\System32\JVxxnrQ.exe
  2⤵
  PID:4148
- C:\Windows\System32\TuVEKhT.exe
  C:\Windows\System32\TuVEKhT.exe
  2⤵
  PID:1400
- C:\Windows\System32\xFtBNal.exe
  C:\Windows\System32\xFtBNal.exe
  2⤵
  PID:1636
- C:\Windows\System32\TRUgAik.exe
  C:\Windows\System32\TRUgAik.exe
  2⤵
  PID:2740
- C:\Windows\System32\niexyWV.exe
  C:\Windows\System32\niexyWV.exe
  2⤵
  PID:4736
- C:\Windows\System32\zCNOyqa.exe
  C:\Windows\System32\zCNOyqa.exe
  2⤵
  PID:3552
- C:\Windows\System32\leyLktP.exe
  C:\Windows\System32\leyLktP.exe
  2⤵
  PID:3624
- C:\Windows\System32\TofySUq.exe
  C:\Windows\System32\TofySUq.exe
  2⤵
  PID:3824
- C:\Windows\System32\NiXhlxi.exe
  C:\Windows\System32\NiXhlxi.exe
  2⤵
  PID:3972
- C:\Windows\System32\azSDznF.exe
  C:\Windows\System32\azSDznF.exe
  2⤵
  PID:4752
- C:\Windows\System32\BLtXlzO.exe
  C:\Windows\System32\BLtXlzO.exe
  2⤵
  PID:4456
- C:\Windows\System32\AmfNudk.exe
  C:\Windows\System32\AmfNudk.exe
  2⤵
  PID:3696
- C:\Windows\System32\wObpZbj.exe
  C:\Windows\System32\wObpZbj.exe
  2⤵
  PID:3056
- C:\Windows\System32\vwQGWWw.exe
  C:\Windows\System32\vwQGWWw.exe
  2⤵
  PID:4720
- C:\Windows\System32\BOnbrbO.exe
  C:\Windows\System32\BOnbrbO.exe
  2⤵
  PID:4616
- C:\Windows\System32\LrVgpxi.exe
  C:\Windows\System32\LrVgpxi.exe
  2⤵
  PID:1952
- C:\Windows\System32\yzDKObX.exe
  C:\Windows\System32\yzDKObX.exe
  2⤵
  PID:3240
- C:\Windows\System32\qOJoAgh.exe
  C:\Windows\System32\qOJoAgh.exe
  2⤵
  PID:4152
- C:\Windows\System32\hRwLTzC.exe
  C:\Windows\System32\hRwLTzC.exe
  2⤵
  PID:4900
- C:\Windows\System32\BrXKROg.exe
  C:\Windows\System32\BrXKROg.exe
  2⤵
  PID:4740
- C:\Windows\System32\hUWxliE.exe
  C:\Windows\System32\hUWxliE.exe
  2⤵
  PID:1884
- C:\Windows\System32\DvMAzxa.exe
  C:\Windows\System32\DvMAzxa.exe
  2⤵
  PID:1116
- C:\Windows\System32\crTBDkW.exe
  C:\Windows\System32\crTBDkW.exe
  2⤵
  PID:3256
- C:\Windows\System32\MCpOWCF.exe
  C:\Windows\System32\MCpOWCF.exe
  2⤵
  PID:5140
- C:\Windows\System32\WzQjsUA.exe
  C:\Windows\System32\WzQjsUA.exe
  2⤵
  PID:5168
- C:\Windows\System32\oTVehWc.exe
  C:\Windows\System32\oTVehWc.exe
  2⤵
  PID:5196
- C:\Windows\System32\ZMkxtyz.exe
  C:\Windows\System32\ZMkxtyz.exe
  2⤵
  PID:5236
- C:\Windows\System32\bbigAWy.exe
  C:\Windows\System32\bbigAWy.exe
  2⤵
  PID:5252
- C:\Windows\System32\kMZuaPA.exe
  C:\Windows\System32\kMZuaPA.exe
  2⤵
  PID:5292
- C:\Windows\System32\CSJEifK.exe
  C:\Windows\System32\CSJEifK.exe
  2⤵
  PID:5308
- C:\Windows\System32\fwRrhPK.exe
  C:\Windows\System32\fwRrhPK.exe
  2⤵
  PID:5336
- C:\Windows\System32\SqeZRJq.exe
  C:\Windows\System32\SqeZRJq.exe
  2⤵
  PID:5376
- C:\Windows\System32\IYjFosL.exe
  C:\Windows\System32\IYjFosL.exe
  2⤵
  PID:5392
- C:\Windows\System32\NOWklAj.exe
  C:\Windows\System32\NOWklAj.exe
  2⤵
  PID:5420
- C:\Windows\System32\bxpkkOm.exe
  C:\Windows\System32\bxpkkOm.exe
  2⤵
  PID:5460
- C:\Windows\System32\dtbBQjI.exe
  C:\Windows\System32\dtbBQjI.exe
  2⤵
  PID:5476
- C:\Windows\System32\zfacNvF.exe
  C:\Windows\System32\zfacNvF.exe
  2⤵
  PID:5516
- C:\Windows\System32\AowcIsP.exe
  C:\Windows\System32\AowcIsP.exe
  2⤵
  PID:5532
- C:\Windows\System32\pBJuCzG.exe
  C:\Windows\System32\pBJuCzG.exe
  2⤵
  PID:5560
- C:\Windows\System32\ZnlpCDE.exe
  C:\Windows\System32\ZnlpCDE.exe
  2⤵
  PID:5588
- C:\Windows\System32\sTDGRLo.exe
  C:\Windows\System32\sTDGRLo.exe
  2⤵
  PID:5616
- C:\Windows\System32\QjOzrGF.exe
  C:\Windows\System32\QjOzrGF.exe
  2⤵
  PID:5644
- C:\Windows\System32\ybFIskr.exe
  C:\Windows\System32\ybFIskr.exe
  2⤵
  PID:5672
- C:\Windows\System32\exaWJhJ.exe
  C:\Windows\System32\exaWJhJ.exe
  2⤵
  PID:5712
- C:\Windows\System32\zRclFYD.exe
  C:\Windows\System32\zRclFYD.exe
  2⤵
  PID:5740
- C:\Windows\System32\ZgUTnsA.exe
  C:\Windows\System32\ZgUTnsA.exe
  2⤵
  PID:5756
- C:\Windows\System32\CIqIWst.exe
  C:\Windows\System32\CIqIWst.exe
  2⤵
  PID:5792
- C:\Windows\System32\BdMCchX.exe
  C:\Windows\System32\BdMCchX.exe
  2⤵
  PID:5816
- C:\Windows\System32\frtcwUY.exe
  C:\Windows\System32\frtcwUY.exe
  2⤵
  PID:5844
- C:\Windows\System32\wMmiQwH.exe
  C:\Windows\System32\wMmiQwH.exe
  2⤵
  PID:5872
- C:\Windows\System32\oaXpLil.exe
  C:\Windows\System32\oaXpLil.exe
  2⤵
  PID:5908
- C:\Windows\System32\SnvkGeH.exe
  C:\Windows\System32\SnvkGeH.exe
  2⤵
  PID:5932
- C:\Windows\System32\XjFyeON.exe
  C:\Windows\System32\XjFyeON.exe
  2⤵
  PID:5956
- C:\Windows\System32\msPEvdw.exe
  C:\Windows\System32\msPEvdw.exe
  2⤵
  PID:6084
- C:\Windows\System32\iGrxfZQ.exe
  C:\Windows\System32\iGrxfZQ.exe
  2⤵
  PID:6112
- C:\Windows\System32\bSutEBb.exe
  C:\Windows\System32\bSutEBb.exe
  2⤵
  PID:4208
- C:\Windows\System32\kuHkzCH.exe
  C:\Windows\System32\kuHkzCH.exe
  2⤵
  PID:3064
- C:\Windows\System32\XJCsmFS.exe
  C:\Windows\System32\XJCsmFS.exe
  2⤵
  PID:3928
- C:\Windows\System32\RcpqAyi.exe
  C:\Windows\System32\RcpqAyi.exe
  2⤵
  PID:1532
- C:\Windows\System32\PMDsNKY.exe
  C:\Windows\System32\PMDsNKY.exe
  2⤵
  PID:2680
- C:\Windows\System32\atSqBMx.exe
  C:\Windows\System32\atSqBMx.exe
  2⤵
  PID:5128
- C:\Windows\System32\tCHBEkf.exe
  C:\Windows\System32\tCHBEkf.exe
  2⤵
  PID:5192
- C:\Windows\System32\kzICUYM.exe
  C:\Windows\System32\kzICUYM.exe
  2⤵
  PID:5212
- C:\Windows\System32\oYaLQED.exe
  C:\Windows\System32\oYaLQED.exe
  2⤵
  PID:5320
- C:\Windows\System32\nbGGXhA.exe
  C:\Windows\System32\nbGGXhA.exe
  2⤵
  PID:4700
- C:\Windows\System32\FAdAnoN.exe
  C:\Windows\System32\FAdAnoN.exe
  2⤵
  PID:5408
- C:\Windows\System32\npxxJcV.exe
  C:\Windows\System32\npxxJcV.exe
  2⤵
  PID:5472
- C:\Windows\System32\olWgkTo.exe
  C:\Windows\System32\olWgkTo.exe
  2⤵
  PID:5524
- C:\Windows\System32\MquIAiA.exe
  C:\Windows\System32\MquIAiA.exe
  2⤵
  PID:4372
- C:\Windows\System32\IHNlplT.exe
  C:\Windows\System32\IHNlplT.exe
  2⤵
  PID:5632
- C:\Windows\System32\oHidjNr.exe
  C:\Windows\System32\oHidjNr.exe
  2⤵
  PID:5696
- C:\Windows\System32\eguciPs.exe
  C:\Windows\System32\eguciPs.exe
  2⤵
  PID:5720
- C:\Windows\System32\rBxOiQR.exe
  C:\Windows\System32\rBxOiQR.exe
  2⤵
  PID:5752
- C:\Windows\System32\XVuSIpe.exe
  C:\Windows\System32\XVuSIpe.exe
  2⤵
  PID:5812
- C:\Windows\System32\QSlmsSk.exe
  C:\Windows\System32\QSlmsSk.exe
  2⤵
  PID:5856
- C:\Windows\System32\ZJKWpQw.exe
  C:\Windows\System32\ZJKWpQw.exe
  2⤵
  PID:5948
- C:\Windows\System32\wEGzDkX.exe
  C:\Windows\System32\wEGzDkX.exe
  2⤵
  PID:2768
- C:\Windows\System32\QYMeVcu.exe
  C:\Windows\System32\QYMeVcu.exe
  2⤵
  PID:5920
- C:\Windows\System32\bHFBaAV.exe
  C:\Windows\System32\bHFBaAV.exe
  2⤵
  PID:5004
- C:\Windows\System32\kVCFQJF.exe
  C:\Windows\System32\kVCFQJF.exe
  2⤵
  PID:1420
- C:\Windows\System32\otDKPkO.exe
  C:\Windows\System32\otDKPkO.exe
  2⤵
  PID:3752
- C:\Windows\System32\puSDwmk.exe
  C:\Windows\System32\puSDwmk.exe
  2⤵
  PID:4492
- C:\Windows\System32\IFMMLOK.exe
  C:\Windows\System32\IFMMLOK.exe
  2⤵
  PID:6060
- C:\Windows\System32\gdteaOF.exe
  C:\Windows\System32\gdteaOF.exe
  2⤵
  PID:60
- C:\Windows\System32\DgyLigY.exe
  C:\Windows\System32\DgyLigY.exe
  2⤵
  PID:4416
- C:\Windows\System32\ewdxveD.exe
  C:\Windows\System32\ewdxveD.exe
  2⤵
  PID:1392
- C:\Windows\System32\MJzXPcG.exe
  C:\Windows\System32\MJzXPcG.exe
  2⤵
  PID:5180
- C:\Windows\System32\XNAxjWj.exe
  C:\Windows\System32\XNAxjWj.exe
  2⤵
  PID:5268
- C:\Windows\System32\przJFqo.exe
  C:\Windows\System32\przJFqo.exe
  2⤵
  PID:4976
- C:\Windows\System32\BGBvOvX.exe
  C:\Windows\System32\BGBvOvX.exe
  2⤵
  PID:696
- C:\Windows\System32\nRzdJew.exe
  C:\Windows\System32\nRzdJew.exe
  2⤵
  PID:5640
- C:\Windows\System32\esGCatE.exe
  C:\Windows\System32\esGCatE.exe
  2⤵
  PID:536
- C:\Windows\System32\bfCHHuC.exe
  C:\Windows\System32\bfCHHuC.exe
  2⤵
  PID:1256
- C:\Windows\System32\sFdZuKw.exe
  C:\Windows\System32\sFdZuKw.exe
  2⤵
  PID:5828
- C:\Windows\System32\JdeMPLh.exe
  C:\Windows\System32\JdeMPLh.exe
  2⤵
  PID:4832
- C:\Windows\System32\VDYxaXG.exe
  C:\Windows\System32\VDYxaXG.exe
  2⤵
  PID:6044
- C:\Windows\System32\EtoVDBP.exe
  C:\Windows\System32\EtoVDBP.exe
  2⤵
  PID:6064
- C:\Windows\System32\vZYxIxM.exe
  C:\Windows\System32\vZYxIxM.exe
  2⤵
  PID:720
- C:\Windows\System32\FNKgHJA.exe
  C:\Windows\System32\FNKgHJA.exe
  2⤵
  PID:5360
- C:\Windows\System32\HefhFBM.exe
  C:\Windows\System32\HefhFBM.exe
  2⤵
  PID:5508
- C:\Windows\System32\RxJOdus.exe
  C:\Windows\System32\RxJOdus.exe
  2⤵
  PID:5088
- C:\Windows\System32\OmAxYos.exe
  C:\Windows\System32\OmAxYos.exe
  2⤵
  PID:6052
- C:\Windows\System32\IOApmBd.exe
  C:\Windows\System32\IOApmBd.exe
  2⤵
  PID:1632
- C:\Windows\System32\abKLDPE.exe
  C:\Windows\System32\abKLDPE.exe
  2⤵
  PID:5348
- C:\Windows\System32\qKXhjHO.exe
  C:\Windows\System32\qKXhjHO.exe
  2⤵
  PID:3392
- C:\Windows\System32\vUnhucr.exe
  C:\Windows\System32\vUnhucr.exe
  2⤵
  PID:5660
- C:\Windows\System32\WMZCaWp.exe
  C:\Windows\System32\WMZCaWp.exe
  2⤵
  PID:6096
- C:\Windows\System32\lqlSzne.exe
  C:\Windows\System32\lqlSzne.exe
  2⤵
  PID:6156
- C:\Windows\System32\qLwnftx.exe
  C:\Windows\System32\qLwnftx.exe
  2⤵
  PID:6244
- C:\Windows\System32\ZYWjNyM.exe
  C:\Windows\System32\ZYWjNyM.exe
  2⤵
  PID:6296
- C:\Windows\System32\qYMSLAW.exe
  C:\Windows\System32\qYMSLAW.exe
  2⤵
  PID:6320
- C:\Windows\System32\rUQZpbG.exe
  C:\Windows\System32\rUQZpbG.exe
  2⤵
  PID:6344
- C:\Windows\System32\zEVnsgg.exe
  C:\Windows\System32\zEVnsgg.exe
  2⤵
  PID:6364
- C:\Windows\System32\bEhLIIw.exe
  C:\Windows\System32\bEhLIIw.exe
  2⤵
  PID:6380
- C:\Windows\System32\ytAOTCz.exe
  C:\Windows\System32\ytAOTCz.exe
  2⤵
  PID:6408
- C:\Windows\System32\kNoUEsQ.exe
  C:\Windows\System32\kNoUEsQ.exe
  2⤵
  PID:6428
- C:\Windows\System32\eltKJKt.exe
  C:\Windows\System32\eltKJKt.exe
  2⤵
  PID:6444
- C:\Windows\System32\qybfBYu.exe
  C:\Windows\System32\qybfBYu.exe
  2⤵
  PID:6464
- C:\Windows\System32\pIKMESI.exe
  C:\Windows\System32\pIKMESI.exe
  2⤵
  PID:6520
- C:\Windows\System32\RwmgZuI.exe
  C:\Windows\System32\RwmgZuI.exe
  2⤵
  PID:6568
- C:\Windows\System32\jKbiWau.exe
  C:\Windows\System32\jKbiWau.exe
  2⤵
  PID:6584
- C:\Windows\System32\pCKoWWf.exe
  C:\Windows\System32\pCKoWWf.exe
  2⤵
  PID:6616
- C:\Windows\System32\kazvuRg.exe
  C:\Windows\System32\kazvuRg.exe
  2⤵
  PID:6632
- C:\Windows\System32\kvHVOZy.exe
  C:\Windows\System32\kvHVOZy.exe
  2⤵
  PID:6648
- C:\Windows\System32\UHEEahu.exe
  C:\Windows\System32\UHEEahu.exe
  2⤵
  PID:6676
- C:\Windows\System32\tmZmDog.exe
  C:\Windows\System32\tmZmDog.exe
  2⤵
  PID:6712
- C:\Windows\System32\YLlCiHp.exe
  C:\Windows\System32\YLlCiHp.exe
  2⤵
  PID:6728
- C:\Windows\System32\jHjRWFu.exe
  C:\Windows\System32\jHjRWFu.exe
  2⤵
  PID:6788
- C:\Windows\System32\gWjOqnS.exe
  C:\Windows\System32\gWjOqnS.exe
  2⤵
  PID:6856
- C:\Windows\System32\vUtbbCt.exe
  C:\Windows\System32\vUtbbCt.exe
  2⤵
  PID:6896
- C:\Windows\System32\rNAkHXl.exe
  C:\Windows\System32\rNAkHXl.exe
  2⤵
  PID:6932
- C:\Windows\System32\ZLAJSOn.exe
  C:\Windows\System32\ZLAJSOn.exe
  2⤵
  PID:6948
- C:\Windows\System32\WSoozXv.exe
  C:\Windows\System32\WSoozXv.exe
  2⤵
  PID:6964
- C:\Windows\System32\juUwKIX.exe
  C:\Windows\System32\juUwKIX.exe
  2⤵
  PID:6980
- C:\Windows\System32\iQnarVl.exe
  C:\Windows\System32\iQnarVl.exe
  2⤵
  PID:6996
- C:\Windows\System32\eTleXfo.exe
  C:\Windows\System32\eTleXfo.exe
  2⤵
  PID:7012
- C:\Windows\System32\EcgmYVS.exe
  C:\Windows\System32\EcgmYVS.exe
  2⤵
  PID:7028
- C:\Windows\System32\kcjjSKg.exe
  C:\Windows\System32\kcjjSKg.exe
  2⤵
  PID:7044
- C:\Windows\System32\glciELP.exe
  C:\Windows\System32\glciELP.exe
  2⤵
  PID:7060
- C:\Windows\System32\NINamxW.exe
  C:\Windows\System32\NINamxW.exe
  2⤵
  PID:7076
- C:\Windows\System32\uBcSFtc.exe
  C:\Windows\System32\uBcSFtc.exe
  2⤵
  PID:7092
- C:\Windows\System32\rwLujHY.exe
  C:\Windows\System32\rwLujHY.exe
  2⤵
  PID:7108
- C:\Windows\System32\JiHmhgD.exe
  C:\Windows\System32\JiHmhgD.exe
  2⤵
  PID:7124
- C:\Windows\System32\Ouiqvjw.exe
  C:\Windows\System32\Ouiqvjw.exe
  2⤵
  PID:7140
- C:\Windows\System32\CwPYpIj.exe
  C:\Windows\System32\CwPYpIj.exe
  2⤵
  PID:5768
- C:\Windows\System32\UGjRdsF.exe
  C:\Windows\System32\UGjRdsF.exe
  2⤵
  PID:2160
- C:\Windows\System32\ojKEDWK.exe
  C:\Windows\System32\ojKEDWK.exe
  2⤵
  PID:6196
- C:\Windows\System32\ycvHhKt.exe
  C:\Windows\System32\ycvHhKt.exe
  2⤵
  PID:6236
- C:\Windows\System32\XvCUeXZ.exe
  C:\Windows\System32\XvCUeXZ.exe
  2⤵
  PID:6276
- C:\Windows\System32\ObpCbHV.exe
  C:\Windows\System32\ObpCbHV.exe
  2⤵
  PID:6656
- C:\Windows\System32\DXsDlrW.exe
  C:\Windows\System32\DXsDlrW.exe
  2⤵
  PID:6624
- C:\Windows\System32\wCCIoEP.exe
  C:\Windows\System32\wCCIoEP.exe
  2⤵
  PID:6720
- C:\Windows\System32\ncdMxXW.exe
  C:\Windows\System32\ncdMxXW.exe
  2⤵
  PID:6744
- C:\Windows\System32\dJNnlHe.exe
  C:\Windows\System32\dJNnlHe.exe
  2⤵
  PID:6820
- C:\Windows\System32\nZoAdrS.exe
  C:\Windows\System32\nZoAdrS.exe
  2⤵
  PID:6772
- C:\Windows\System32\syWtVDP.exe
  C:\Windows\System32\syWtVDP.exe
  2⤵
  PID:6816
- C:\Windows\System32\kZVtInl.exe
  C:\Windows\System32\kZVtInl.exe
  2⤵
  PID:6872
- C:\Windows\System32\zcPmJqz.exe
  C:\Windows\System32\zcPmJqz.exe
  2⤵
  PID:6548
- C:\Windows\System32\ukbzQRb.exe
  C:\Windows\System32\ukbzQRb.exe
  2⤵
  PID:6644
- C:\Windows\System32\sgAkGqK.exe
  C:\Windows\System32\sgAkGqK.exe
  2⤵
  PID:6452
- C:\Windows\System32\LSVokSe.exe
  C:\Windows\System32\LSVokSe.exe
  2⤵
  PID:6224
- C:\Windows\System32\FRHBYQT.exe
  C:\Windows\System32\FRHBYQT.exe
  2⤵
  PID:6404
- C:\Windows\System32\PcmXuAD.exe
  C:\Windows\System32\PcmXuAD.exe
  2⤵
  PID:7120
- C:\Windows\System32\YUgcHWu.exe
  C:\Windows\System32\YUgcHWu.exe
  2⤵
  PID:6268
- C:\Windows\System32\oevXJhr.exe
  C:\Windows\System32\oevXJhr.exe
  2⤵
  PID:5992
- C:\Windows\System32\CneCkGB.exe
  C:\Windows\System32\CneCkGB.exe
  2⤵
  PID:6748
- C:\Windows\System32\FsvHGyr.exe
  C:\Windows\System32\FsvHGyr.exe
  2⤵
  PID:6740
- C:\Windows\System32\KxqRDzi.exe
  C:\Windows\System32\KxqRDzi.exe
  2⤵
  PID:6880
- C:\Windows\System32\zuguSSz.exe
  C:\Windows\System32\zuguSSz.exe
  2⤵
  PID:7216
- C:\Windows\System32\peEVUED.exe
  C:\Windows\System32\peEVUED.exe
  2⤵
  PID:7244
- C:\Windows\System32\rALPDCY.exe
  C:\Windows\System32\rALPDCY.exe
  2⤵
  PID:7284
- C:\Windows\System32\DAJwfcG.exe
  C:\Windows\System32\DAJwfcG.exe
  2⤵
  PID:7304
- C:\Windows\System32\TsLOVjk.exe
  C:\Windows\System32\TsLOVjk.exe
  2⤵
  PID:7340
- C:\Windows\System32\zAOXypR.exe
  C:\Windows\System32\zAOXypR.exe
  2⤵
  PID:7388
- C:\Windows\System32\lVPxVvW.exe
  C:\Windows\System32\lVPxVvW.exe
  2⤵
  PID:7416
- C:\Windows\System32\aXbFJjN.exe
  C:\Windows\System32\aXbFJjN.exe
  2⤵
  PID:7436
- C:\Windows\System32\WlmldPr.exe
  C:\Windows\System32\WlmldPr.exe
  2⤵
  PID:7472
- C:\Windows\System32\ZxYmCjd.exe
  C:\Windows\System32\ZxYmCjd.exe
  2⤵
  PID:7492
- C:\Windows\System32\RTLzHDh.exe
  C:\Windows\System32\RTLzHDh.exe
  2⤵
  PID:7512
- C:\Windows\System32\tIgqwJH.exe
  C:\Windows\System32\tIgqwJH.exe
  2⤵
  PID:7532
- C:\Windows\System32\vmMWncO.exe
  C:\Windows\System32\vmMWncO.exe
  2⤵
  PID:7548
- C:\Windows\System32\vLqumIs.exe
  C:\Windows\System32\vLqumIs.exe
  2⤵
  PID:7576
- C:\Windows\System32\IzadCfD.exe
  C:\Windows\System32\IzadCfD.exe
  2⤵
  PID:7644
- C:\Windows\System32\xNJHKDa.exe
  C:\Windows\System32\xNJHKDa.exe
  2⤵
  PID:7660
- C:\Windows\System32\RngGiks.exe
  C:\Windows\System32\RngGiks.exe
  2⤵
  PID:7888
- C:\Windows\System32\PoHbvlP.exe
  C:\Windows\System32\PoHbvlP.exe
  2⤵
  PID:7904
- C:\Windows\System32\dsTYbFO.exe
  C:\Windows\System32\dsTYbFO.exe
  2⤵
  PID:7972
- C:\Windows\System32\UwjnYjX.exe
  C:\Windows\System32\UwjnYjX.exe
  2⤵
  PID:7996
- C:\Windows\System32\TNZCHer.exe
  C:\Windows\System32\TNZCHer.exe
  2⤵
  PID:8036
- C:\Windows\System32\QwMbasd.exe
  C:\Windows\System32\QwMbasd.exe
  2⤵
  PID:8064
- C:\Windows\System32\ssLBphk.exe
  C:\Windows\System32\ssLBphk.exe
  2⤵
  PID:8080
- C:\Windows\System32\INLGBHH.exe
  C:\Windows\System32\INLGBHH.exe
  2⤵
  PID:8104
- C:\Windows\System32\qJRQBLi.exe
  C:\Windows\System32\qJRQBLi.exe
  2⤵
  PID:8148
- C:\Windows\System32\NQbLgXs.exe
  C:\Windows\System32\NQbLgXs.exe
  2⤵
  PID:8168
- C:\Windows\System32\hsZsKAi.exe
  C:\Windows\System32\hsZsKAi.exe
  2⤵
  PID:6808
- C:\Windows\System32\CJXpJBx.exe
  C:\Windows\System32\CJXpJBx.exe
  2⤵
  PID:6152
- C:\Windows\System32\GJaMRQL.exe
  C:\Windows\System32\GJaMRQL.exe
  2⤵
  PID:7232
- C:\Windows\System32\nxiHoMB.exe
  C:\Windows\System32\nxiHoMB.exe
  2⤵
  PID:7300
- C:\Windows\System32\PPFtgYv.exe
  C:\Windows\System32\PPFtgYv.exe
  2⤵
  PID:7328
- C:\Windows\System32\llpkXQj.exe
  C:\Windows\System32\llpkXQj.exe
  2⤵
  PID:7428
- C:\Windows\System32\NFzwERG.exe
  C:\Windows\System32\NFzwERG.exe
  2⤵
  PID:7500
- C:\Windows\System32\QQdLyre.exe
  C:\Windows\System32\QQdLyre.exe
  2⤵
  PID:7596
- C:\Windows\System32\GqlNvOG.exe
  C:\Windows\System32\GqlNvOG.exe
  2⤵
  PID:7620
- C:\Windows\System32\Ztdnxqr.exe
  C:\Windows\System32\Ztdnxqr.exe
  2⤵
  PID:7684
- C:\Windows\System32\GaEEfwl.exe
  C:\Windows\System32\GaEEfwl.exe
  2⤵
  PID:7696
- C:\Windows\System32\rbVCcus.exe
  C:\Windows\System32\rbVCcus.exe
  2⤵
  PID:7720
- C:\Windows\System32\ytyszLc.exe
  C:\Windows\System32\ytyszLc.exe
  2⤵
  PID:7772
- C:\Windows\System32\yeQkVZP.exe
  C:\Windows\System32\yeQkVZP.exe
  2⤵
  PID:7808
- C:\Windows\System32\vkQpuzQ.exe
  C:\Windows\System32\vkQpuzQ.exe
  2⤵
  PID:7860
- C:\Windows\System32\WkUZblo.exe
  C:\Windows\System32\WkUZblo.exe
  2⤵
  PID:7864
- C:\Windows\System32\yIfdeIT.exe
  C:\Windows\System32\yIfdeIT.exe
  2⤵
  PID:7940
- C:\Windows\System32\DLqyxoj.exe
  C:\Windows\System32\DLqyxoj.exe
  2⤵
  PID:7988
- C:\Windows\System32\ZCseyTC.exe
  C:\Windows\System32\ZCseyTC.exe
  2⤵
  PID:7632
- C:\Windows\System32\IunjaeM.exe
  C:\Windows\System32\IunjaeM.exe
  2⤵
  PID:8096
- C:\Windows\System32\pXCZwSI.exe
  C:\Windows\System32\pXCZwSI.exe
  2⤵
  PID:8184
- C:\Windows\System32\XzWXtuq.exe
  C:\Windows\System32\XzWXtuq.exe
  2⤵
  PID:1868
- C:\Windows\System32\JmdZmfL.exe
  C:\Windows\System32\JmdZmfL.exe
  2⤵
  PID:7260
- C:\Windows\System32\xhGZZyn.exe
  C:\Windows\System32\xhGZZyn.exe
  2⤵
  PID:7396
- C:\Windows\System32\EEIrsGM.exe
  C:\Windows\System32\EEIrsGM.exe
  2⤵
  PID:7544
- C:\Windows\System32\uprXDIm.exe
  C:\Windows\System32\uprXDIm.exe
  2⤵
  PID:7672
- C:\Windows\System32\eObKRNV.exe
  C:\Windows\System32\eObKRNV.exe
  2⤵
  PID:7780
- C:\Windows\System32\QOMcrDS.exe
  C:\Windows\System32\QOMcrDS.exe
  2⤵
  PID:7804
- C:\Windows\System32\MINshfU.exe
  C:\Windows\System32\MINshfU.exe
  2⤵
  PID:7936
- C:\Windows\System32\yAfIqHa.exe
  C:\Windows\System32\yAfIqHa.exe
  2⤵
  PID:8164
- C:\Windows\System32\WQbpqyI.exe
  C:\Windows\System32\WQbpqyI.exe
  2⤵
  PID:6148
- C:\Windows\System32\aaTGaXy.exe
  C:\Windows\System32\aaTGaXy.exe
  2⤵
  PID:7704
- C:\Windows\System32\cTJnUxe.exe
  C:\Windows\System32\cTJnUxe.exe
  2⤵
  PID:7712
- C:\Windows\System32\gfhRfbf.exe
  C:\Windows\System32\gfhRfbf.exe
  2⤵
  PID:6608
- C:\Windows\System32\dCEJZdE.exe
  C:\Windows\System32\dCEJZdE.exe
  2⤵
  PID:7588
- C:\Windows\System32\jwcLvpH.exe
  C:\Windows\System32\jwcLvpH.exe
  2⤵
  PID:7408
- C:\Windows\System32\bsHvZyI.exe
  C:\Windows\System32\bsHvZyI.exe
  2⤵
  PID:8216
- C:\Windows\System32\TKwnicg.exe
  C:\Windows\System32\TKwnicg.exe
  2⤵
  PID:8240
- C:\Windows\System32\vodVOci.exe
  C:\Windows\System32\vodVOci.exe
  2⤵
  PID:8260
- C:\Windows\System32\DQaQfku.exe
  C:\Windows\System32\DQaQfku.exe
  2⤵
  PID:8284
- C:\Windows\System32\ivcVQTc.exe
  C:\Windows\System32\ivcVQTc.exe
  2⤵
  PID:8300
- C:\Windows\System32\EkpBwko.exe
  C:\Windows\System32\EkpBwko.exe
  2⤵
  PID:8348
- C:\Windows\System32\SYZtPDw.exe
  C:\Windows\System32\SYZtPDw.exe
  2⤵
  PID:8372
- C:\Windows\System32\CGsfIaf.exe
  C:\Windows\System32\CGsfIaf.exe
  2⤵
  PID:8416
- C:\Windows\System32\wnqLOSU.exe
  C:\Windows\System32\wnqLOSU.exe
  2⤵
  PID:8444
- C:\Windows\System32\bUhMZYp.exe
  C:\Windows\System32\bUhMZYp.exe
  2⤵
  PID:8460
- C:\Windows\System32\FQDUEKd.exe
  C:\Windows\System32\FQDUEKd.exe
  2⤵
  PID:8512
- C:\Windows\System32\znYzVGH.exe
  C:\Windows\System32\znYzVGH.exe
  2⤵
  PID:8532
- C:\Windows\System32\WcZjSVA.exe
  C:\Windows\System32\WcZjSVA.exe
  2⤵
  PID:8556
- C:\Windows\System32\PViSRxd.exe
  C:\Windows\System32\PViSRxd.exe
  2⤵
  PID:8576
- C:\Windows\System32\lmlmACQ.exe
  C:\Windows\System32\lmlmACQ.exe
  2⤵
  PID:8604
- C:\Windows\System32\ajshPdH.exe
  C:\Windows\System32\ajshPdH.exe
  2⤵
  PID:8644
- C:\Windows\System32\SQKkOjA.exe
  C:\Windows\System32\SQKkOjA.exe
  2⤵
  PID:8660
- C:\Windows\System32\SJvWiKc.exe
  C:\Windows\System32\SJvWiKc.exe
  2⤵
  PID:8688
- C:\Windows\System32\eWKxoGw.exe
  C:\Windows\System32\eWKxoGw.exe
  2⤵
  PID:8720
- C:\Windows\System32\RncZawC.exe
  C:\Windows\System32\RncZawC.exe
  2⤵
  PID:8744
- C:\Windows\System32\zpfakiU.exe
  C:\Windows\System32\zpfakiU.exe
  2⤵
  PID:8764
- C:\Windows\System32\rCNosYn.exe
  C:\Windows\System32\rCNosYn.exe
  2⤵
  PID:8788
- C:\Windows\System32\kWcTzdt.exe
  C:\Windows\System32\kWcTzdt.exe
  2⤵
  PID:8808
- C:\Windows\System32\TxjIgSr.exe
  C:\Windows\System32\TxjIgSr.exe
  2⤵
  PID:8824
- C:\Windows\System32\LCBxSzm.exe
  C:\Windows\System32\LCBxSzm.exe
  2⤵
  PID:8848
- C:\Windows\System32\eLJUmak.exe
  C:\Windows\System32\eLJUmak.exe
  2⤵
  PID:8912
- C:\Windows\System32\imccnWh.exe
  C:\Windows\System32\imccnWh.exe
  2⤵
  PID:8940
- C:\Windows\System32\ettynIx.exe
  C:\Windows\System32\ettynIx.exe
  2⤵
  PID:8968
- C:\Windows\System32\ouhYQlf.exe
  C:\Windows\System32\ouhYQlf.exe
  2⤵
  PID:9004
- C:\Windows\System32\KtnbiLx.exe
  C:\Windows\System32\KtnbiLx.exe
  2⤵
  PID:9024
- C:\Windows\System32\YmyoqTA.exe
  C:\Windows\System32\YmyoqTA.exe
  2⤵
  PID:9044
- C:\Windows\System32\FnXOpSX.exe
  C:\Windows\System32\FnXOpSX.exe
  2⤵
  PID:9060
- C:\Windows\System32\UvPNwdK.exe
  C:\Windows\System32\UvPNwdK.exe
  2⤵
  PID:9108
- C:\Windows\System32\QetKmCY.exe
  C:\Windows\System32\QetKmCY.exe
  2⤵
  PID:9132
- C:\Windows\System32\qDjYFVx.exe
  C:\Windows\System32\qDjYFVx.exe
  2⤵
  PID:9168
- C:\Windows\System32\TiXgEyy.exe
  C:\Windows\System32\TiXgEyy.exe
  2⤵
  PID:9196
- C:\Windows\System32\OORFCxp.exe
  C:\Windows\System32\OORFCxp.exe
  2⤵
  PID:7964
- C:\Windows\System32\FnteBJK.exe
  C:\Windows\System32\FnteBJK.exe
  2⤵
  PID:8252
- C:\Windows\System32\jFDnown.exe
  C:\Windows\System32\jFDnown.exe
  2⤵
  PID:8292
- C:\Windows\System32\yBZvlDo.exe
  C:\Windows\System32\yBZvlDo.exe
  2⤵
  PID:8356
- C:\Windows\System32\zOuJGZg.exe
  C:\Windows\System32\zOuJGZg.exe
  2⤵
  PID:8452
- C:\Windows\System32\wtZRioT.exe
  C:\Windows\System32\wtZRioT.exe
  2⤵
  PID:8456
- C:\Windows\System32\klCbPJT.exe
  C:\Windows\System32\klCbPJT.exe
  2⤵
  PID:8528
- C:\Windows\System32\APivzxi.exe
  C:\Windows\System32\APivzxi.exe
  2⤵
  PID:8652
- C:\Windows\System32\aVLWJKV.exe
  C:\Windows\System32\aVLWJKV.exe
  2⤵
  PID:8728
- C:\Windows\System32\AgivYGo.exe
  C:\Windows\System32\AgivYGo.exe
  2⤵
  PID:8756
- C:\Windows\System32\wHEYBVo.exe
  C:\Windows\System32\wHEYBVo.exe
  2⤵
  PID:8884
- C:\Windows\System32\kYosJCf.exe
  C:\Windows\System32\kYosJCf.exe
  2⤵
  PID:8892
- C:\Windows\System32\DUFGocg.exe
  C:\Windows\System32\DUFGocg.exe
  2⤵
  PID:8964
- C:\Windows\System32\DbprutH.exe
  C:\Windows\System32\DbprutH.exe
  2⤵
  PID:9080
- C:\Windows\System32\eJJNVem.exe
  C:\Windows\System32\eJJNVem.exe
  2⤵
  PID:9124
- C:\Windows\System32\tTkRzkL.exe
  C:\Windows\System32\tTkRzkL.exe
  2⤵
  PID:9148
- C:\Windows\System32\ACPHmVr.exe
  C:\Windows\System32\ACPHmVr.exe
  2⤵
  PID:9184
- C:\Windows\System32\vGAXdZP.exe
  C:\Windows\System32\vGAXdZP.exe
  2⤵
  PID:8232
- C:\Windows\System32\qLoMRYJ.exe
  C:\Windows\System32\qLoMRYJ.exe
  2⤵
  PID:8272
- C:\Windows\System32\OPUJVxf.exe
  C:\Windows\System32\OPUJVxf.exe
  2⤵
  PID:8428
- C:\Windows\System32\sVAbNYD.exe
  C:\Windows\System32\sVAbNYD.exe
  2⤵
  PID:8568
- C:\Windows\System32\djtziZo.exe
  C:\Windows\System32\djtziZo.exe
  2⤵
  PID:8832
- C:\Windows\System32\FkGgGht.exe
  C:\Windows\System32\FkGgGht.exe
  2⤵
  PID:9160
- C:\Windows\System32\DIruGpW.exe
  C:\Windows\System32\DIruGpW.exe
  2⤵
  PID:8336
- C:\Windows\System32\yQivavR.exe
  C:\Windows\System32\yQivavR.exe
  2⤵
  PID:8712
- C:\Windows\System32\UTDsVez.exe
  C:\Windows\System32\UTDsVez.exe
  2⤵
  PID:9068
- C:\Windows\System32\YWXbMXN.exe
  C:\Windows\System32\YWXbMXN.exe
  2⤵
  PID:7840
- C:\Windows\System32\SYLkydR.exe
  C:\Windows\System32\SYLkydR.exe
  2⤵
  PID:9224
- C:\Windows\System32\cIMZVKj.exe
  C:\Windows\System32\cIMZVKj.exe
  2⤵
  PID:9280
- C:\Windows\System32\ZjIaOHb.exe
  C:\Windows\System32\ZjIaOHb.exe
  2⤵
  PID:9304
- C:\Windows\System32\YKUewlI.exe
  C:\Windows\System32\YKUewlI.exe
  2⤵
  PID:9348
- C:\Windows\System32\osZdbfH.exe
  C:\Windows\System32\osZdbfH.exe
  2⤵
  PID:9372
- C:\Windows\System32\jpniJgw.exe
  C:\Windows\System32\jpniJgw.exe
  2⤵
  PID:9400
- C:\Windows\System32\qIZDzHt.exe
  C:\Windows\System32\qIZDzHt.exe
  2⤵
  PID:9420
- C:\Windows\System32\KLxHYrM.exe
  C:\Windows\System32\KLxHYrM.exe
  2⤵
  PID:9464
- C:\Windows\System32\TQOcxTJ.exe
  C:\Windows\System32\TQOcxTJ.exe
  2⤵
  PID:9488
- C:\Windows\System32\XOqjEvI.exe
  C:\Windows\System32\XOqjEvI.exe
  2⤵
  PID:9512
- C:\Windows\System32\uJhoxaS.exe
  C:\Windows\System32\uJhoxaS.exe
  2⤵
  PID:9532
- C:\Windows\System32\HkdKwoZ.exe
  C:\Windows\System32\HkdKwoZ.exe
  2⤵
  PID:9552
- C:\Windows\System32\heUuWsR.exe
  C:\Windows\System32\heUuWsR.exe
  2⤵
  PID:9596
- C:\Windows\System32\EkCAlEI.exe
  C:\Windows\System32\EkCAlEI.exe
  2⤵
  PID:9620
- C:\Windows\System32\IKIJUox.exe
  C:\Windows\System32\IKIJUox.exe
  2⤵
  PID:9660
- C:\Windows\System32\qJtOlui.exe
  C:\Windows\System32\qJtOlui.exe
  2⤵
  PID:9684
- C:\Windows\System32\SPxsULf.exe
  C:\Windows\System32\SPxsULf.exe
  2⤵
  PID:9716
- C:\Windows\System32\UFvibTQ.exe
  C:\Windows\System32\UFvibTQ.exe
  2⤵
  PID:9752
- C:\Windows\System32\tpgBziH.exe
  C:\Windows\System32\tpgBziH.exe
  2⤵
  PID:9772
- C:\Windows\System32\oKgCALH.exe
  C:\Windows\System32\oKgCALH.exe
  2⤵
  PID:9824
- C:\Windows\System32\XreEjmT.exe
  C:\Windows\System32\XreEjmT.exe
  2⤵
  PID:9844
- C:\Windows\System32\DQJnIwr.exe
  C:\Windows\System32\DQJnIwr.exe
  2⤵
  PID:9868
- C:\Windows\System32\mBKTWwK.exe
  C:\Windows\System32\mBKTWwK.exe
  2⤵
  PID:9888
- C:\Windows\System32\vWWxTMw.exe
  C:\Windows\System32\vWWxTMw.exe
  2⤵
  PID:9932
- C:\Windows\System32\FaUSqIl.exe
  C:\Windows\System32\FaUSqIl.exe
  2⤵
  PID:9948
- C:\Windows\System32\BGADwbq.exe
  C:\Windows\System32\BGADwbq.exe
  2⤵
  PID:9972
- C:\Windows\System32\GbCmMPC.exe
  C:\Windows\System32\GbCmMPC.exe
  2⤵
  PID:9992
- C:\Windows\System32\vpzquVf.exe
  C:\Windows\System32\vpzquVf.exe
  2⤵
  PID:10020
- C:\Windows\System32\CYLWvDR.exe
  C:\Windows\System32\CYLWvDR.exe
  2⤵
  PID:10048
- C:\Windows\System32\JzbwyDJ.exe
  C:\Windows\System32\JzbwyDJ.exe
  2⤵
  PID:10076
- C:\Windows\System32\eSbjgAs.exe
  C:\Windows\System32\eSbjgAs.exe
  2⤵
  PID:10100
- C:\Windows\System32\MnEYPvd.exe
  C:\Windows\System32\MnEYPvd.exe
  2⤵
  PID:10132
- C:\Windows\System32\pkOJZYy.exe
  C:\Windows\System32\pkOJZYy.exe
  2⤵
  PID:10160
- C:\Windows\System32\hjGMMuh.exe
  C:\Windows\System32\hjGMMuh.exe
  2⤵
  PID:10192
- C:\Windows\System32\yKPNlht.exe
  C:\Windows\System32\yKPNlht.exe
  2⤵
  PID:10236
- C:\Windows\System32\aunuIon.exe
  C:\Windows\System32\aunuIon.exe
  2⤵
  PID:8928
- C:\Windows\System32\bEuknFF.exe
  C:\Windows\System32\bEuknFF.exe
  2⤵
  PID:9220
- C:\Windows\System32\HCkVopu.exe
  C:\Windows\System32\HCkVopu.exe
  2⤵
  PID:9300
- C:\Windows\System32\sHekrMw.exe
  C:\Windows\System32\sHekrMw.exe
  2⤵
  PID:9388
- C:\Windows\System32\esQqRJO.exe
  C:\Windows\System32\esQqRJO.exe
  2⤵
  PID:9432
- C:\Windows\System32\dXfLqFE.exe
  C:\Windows\System32\dXfLqFE.exe
  2⤵
  PID:9560
- C:\Windows\System32\cgmwLya.exe
  C:\Windows\System32\cgmwLya.exe
  2⤵
  PID:9544
- C:\Windows\System32\wgBTIJU.exe
  C:\Windows\System32\wgBTIJU.exe
  2⤵
  PID:9628
- C:\Windows\System32\EQQwrOs.exe
  C:\Windows\System32\EQQwrOs.exe
  2⤵
  PID:9680
- C:\Windows\System32\SaNQVFL.exe
  C:\Windows\System32\SaNQVFL.exe
  2⤵
  PID:9820
- C:\Windows\System32\XBlPAWT.exe
  C:\Windows\System32\XBlPAWT.exe
  2⤵
  PID:9860
- C:\Windows\System32\VCWnQrs.exe
  C:\Windows\System32\VCWnQrs.exe
  2⤵
  PID:9904
- C:\Windows\System32\BwHuoje.exe
  C:\Windows\System32\BwHuoje.exe
  2⤵
  PID:9956
- C:\Windows\System32\lIkeULf.exe
  C:\Windows\System32\lIkeULf.exe
  2⤵
  PID:10012
- C:\Windows\System32\deAMKAP.exe
  C:\Windows\System32\deAMKAP.exe
  2⤵
  PID:10056
- C:\Windows\System32\ZuHqeFg.exe
  C:\Windows\System32\ZuHqeFg.exe
  2⤵
  PID:10112
- C:\Windows\System32\jFdTBRV.exe
  C:\Windows\System32\jFdTBRV.exe
  2⤵
  PID:10180
- C:\Windows\System32\UKyYzNp.exe
  C:\Windows\System32\UKyYzNp.exe
  2⤵
  PID:10232
- C:\Windows\System32\sfcXlGe.exe
  C:\Windows\System32\sfcXlGe.exe
  2⤵
  PID:9484
- C:\Windows\System32\MjjlCYb.exe
  C:\Windows\System32\MjjlCYb.exe
  2⤵
  PID:9648
- C:\Windows\System32\XeDmZdG.exe
  C:\Windows\System32\XeDmZdG.exe
  2⤵
  PID:9800
- C:\Windows\System32\eHePvsb.exe
  C:\Windows\System32\eHePvsb.exe
  2⤵
  PID:9924
- C:\Windows\System32\ZXvRekt.exe
  C:\Windows\System32\ZXvRekt.exe
  2⤵
  PID:10092
- C:\Windows\System32\ylFDBEC.exe
  C:\Windows\System32\ylFDBEC.exe
  2⤵
  PID:10220
- C:\Windows\System32\vZxaQPg.exe
  C:\Windows\System32\vZxaQPg.exe
  2⤵
  PID:9416
- C:\Windows\System32\PfIQzGK.exe
  C:\Windows\System32\PfIQzGK.exe
  2⤵
  PID:9736
- C:\Windows\System32\VxujHmG.exe
  C:\Windows\System32\VxujHmG.exe
  2⤵
  PID:10212
- C:\Windows\System32\YdlVIxV.exe
  C:\Windows\System32\YdlVIxV.exe
  2⤵
  PID:10004
- C:\Windows\System32\MIpCbdu.exe
  C:\Windows\System32\MIpCbdu.exe
  2⤵
  PID:9836
- C:\Windows\System32\nSSBIOw.exe
  C:\Windows\System32\nSSBIOw.exe
  2⤵
  PID:10264
- C:\Windows\System32\xNRsCQN.exe
  C:\Windows\System32\xNRsCQN.exe
  2⤵
  PID:10288
- C:\Windows\System32\KDMAVzq.exe
  C:\Windows\System32\KDMAVzq.exe
  2⤵
  PID:10316
- C:\Windows\System32\IWudoZp.exe
  C:\Windows\System32\IWudoZp.exe
  2⤵
  PID:10348
- C:\Windows\System32\etwnhqX.exe
  C:\Windows\System32\etwnhqX.exe
  2⤵
  PID:10372
- C:\Windows\System32\xWBMBTU.exe
  C:\Windows\System32\xWBMBTU.exe
  2⤵
  PID:10388
- C:\Windows\System32\PmzggNs.exe
  C:\Windows\System32\PmzggNs.exe
  2⤵
  PID:10448
- C:\Windows\System32\gxMiMVN.exe
  C:\Windows\System32\gxMiMVN.exe
  2⤵
  PID:10472
- C:\Windows\System32\tFOEyZc.exe
  C:\Windows\System32\tFOEyZc.exe
  2⤵
  PID:10512
- C:\Windows\System32\KOeNbUM.exe
  C:\Windows\System32\KOeNbUM.exe
  2⤵
  PID:10536
- C:\Windows\System32\qtMEMJD.exe
  C:\Windows\System32\qtMEMJD.exe
  2⤵
  PID:10556
- C:\Windows\System32\OJPCrNU.exe
  C:\Windows\System32\OJPCrNU.exe
  2⤵
  PID:10572
- C:\Windows\System32\OzRIcwh.exe
  C:\Windows\System32\OzRIcwh.exe
  2⤵
  PID:10592
- C:\Windows\System32\ZvSlbBJ.exe
  C:\Windows\System32\ZvSlbBJ.exe
  2⤵
  PID:10624
- C:\Windows\System32\YpaaVXQ.exe
  C:\Windows\System32\YpaaVXQ.exe
  2⤵
  PID:10652
- C:\Windows\System32\PcvCGfJ.exe
  C:\Windows\System32\PcvCGfJ.exe
  2⤵
  PID:10688
- C:\Windows\System32\olwsMrj.exe
  C:\Windows\System32\olwsMrj.exe
  2⤵
  PID:10732
- C:\Windows\System32\iosJixm.exe
  C:\Windows\System32\iosJixm.exe
  2⤵
  PID:10760
- C:\Windows\System32\WnvhKnS.exe
  C:\Windows\System32\WnvhKnS.exe
  2⤵
  PID:10780
- C:\Windows\System32\obrcNDE.exe
  C:\Windows\System32\obrcNDE.exe
  2⤵
  PID:10820
- C:\Windows\System32\sQwRGze.exe
  C:\Windows\System32\sQwRGze.exe
  2⤵
  PID:10836
- C:\Windows\System32\gTpFoPr.exe
  C:\Windows\System32\gTpFoPr.exe
  2⤵
  PID:10856
- C:\Windows\System32\JZtEpHT.exe
  C:\Windows\System32\JZtEpHT.exe
  2⤵
  PID:10880
- C:\Windows\System32\fNyLKVL.exe
  C:\Windows\System32\fNyLKVL.exe
  2⤵
  PID:10896
- C:\Windows\System32\UpPYAQY.exe
  C:\Windows\System32\UpPYAQY.exe
  2⤵
  PID:10912
- C:\Windows\System32\QvAMkqh.exe
  C:\Windows\System32\QvAMkqh.exe
  2⤵
  PID:10964
- C:\Windows\System32\MHiXxgI.exe
  C:\Windows\System32\MHiXxgI.exe
  2⤵
  PID:11016
- C:\Windows\System32\nAiTuPo.exe
  C:\Windows\System32\nAiTuPo.exe
  2⤵
  PID:11052
- C:\Windows\System32\yQjNhyo.exe
  C:\Windows\System32\yQjNhyo.exe
  2⤵
  PID:11088
- C:\Windows\System32\LXhILXk.exe
  C:\Windows\System32\LXhILXk.exe
  2⤵
  PID:11116
- C:\Windows\System32\ekzlZtC.exe
  C:\Windows\System32\ekzlZtC.exe
  2⤵
  PID:11152
- C:\Windows\System32\xQhYcxr.exe
  C:\Windows\System32\xQhYcxr.exe
  2⤵
  PID:11172
- C:\Windows\System32\blbdKYR.exe
  C:\Windows\System32\blbdKYR.exe
  2⤵
  PID:11196
- C:\Windows\System32\qZpNDPS.exe
  C:\Windows\System32\qZpNDPS.exe
  2⤵
  PID:11224
- C:\Windows\System32\JRrrMVS.exe
  C:\Windows\System32\JRrrMVS.exe
  2⤵
  PID:11252
- C:\Windows\System32\iCsnktr.exe
  C:\Windows\System32\iCsnktr.exe
  2⤵
  PID:10312
- C:\Windows\System32\qQimMGm.exe
  C:\Windows\System32\qQimMGm.exe
  2⤵
  PID:9832
- C:\Windows\System32\yVBUezf.exe
  C:\Windows\System32\yVBUezf.exe
  2⤵
  PID:10440
- C:\Windows\System32\eHczuOl.exe
  C:\Windows\System32\eHczuOl.exe
  2⤵
  PID:10500
- C:\Windows\System32\nylVtjl.exe
  C:\Windows\System32\nylVtjl.exe
  2⤵
  PID:10548
- C:\Windows\System32\rHRgLQF.exe
  C:\Windows\System32\rHRgLQF.exe
  2⤵
  PID:10604
- C:\Windows\System32\gSXxpKn.exe
  C:\Windows\System32\gSXxpKn.exe
  2⤵
  PID:10684
- C:\Windows\System32\ltHxZrq.exe
  C:\Windows\System32\ltHxZrq.exe
  2⤵
  PID:10772
- C:\Windows\System32\MnPXwnk.exe
  C:\Windows\System32\MnPXwnk.exe
  2⤵
  PID:10808
- C:\Windows\System32\bzAyobT.exe
  C:\Windows\System32\bzAyobT.exe
  2⤵
  PID:10864
- C:\Windows\System32\SkJgqHm.exe
  C:\Windows\System32\SkJgqHm.exe
  2⤵
  PID:10908
- C:\Windows\System32\WKPBNre.exe
  C:\Windows\System32\WKPBNre.exe
  2⤵
  PID:10952
- C:\Windows\System32\MIFRPGp.exe
  C:\Windows\System32\MIFRPGp.exe
  2⤵
  PID:11004
- C:\Windows\System32\cFTPGBQ.exe
  C:\Windows\System32\cFTPGBQ.exe
  2⤵
  PID:11084
- C:\Windows\System32\KqvFyEF.exe
  C:\Windows\System32\KqvFyEF.exe
  2⤵
  PID:11136
- C:\Windows\System32\cMPyZHu.exe
  C:\Windows\System32\cMPyZHu.exe
  2⤵
  PID:11212
- C:\Windows\System32\kTamjCZ.exe
  C:\Windows\System32\kTamjCZ.exe
  2⤵
  PID:11244
- C:\Windows\System32\nmcccWO.exe
  C:\Windows\System32\nmcccWO.exe
  2⤵
  PID:10252
- C:\Windows\System32\rMQjLMq.exe
  C:\Windows\System32\rMQjLMq.exe
  2⤵
  PID:10424
- C:\Windows\System32\lyFhLrN.exe
  C:\Windows\System32\lyFhLrN.exe
  2⤵
  PID:10588
- C:\Windows\System32\aFBcgKP.exe
  C:\Windows\System32\aFBcgKP.exe
  2⤵
  PID:10700
- C:\Windows\System32\kObxUtt.exe
  C:\Windows\System32\kObxUtt.exe
  2⤵
  PID:10936
- C:\Windows\System32\lGroZvV.exe
  C:\Windows\System32\lGroZvV.exe
  2⤵
  PID:6216
- C:\Windows\System32\oWkPwco.exe
  C:\Windows\System32\oWkPwco.exe
  2⤵
  PID:11132
- C:\Windows\System32\xiBZwQy.exe
  C:\Windows\System32\xiBZwQy.exe
  2⤵
  PID:11240
- C:\Windows\System32\HnmLiic.exe
  C:\Windows\System32\HnmLiic.exe
  2⤵
  PID:10672
- C:\Windows\System32\jcwHcKX.exe
  C:\Windows\System32\jcwHcKX.exe
  2⤵
  PID:10972
- C:\Windows\System32\bXxUBvW.exe
  C:\Windows\System32\bXxUBvW.exe
  2⤵
  PID:11220
- C:\Windows\System32\CqtkaBd.exe
  C:\Windows\System32\CqtkaBd.exe
  2⤵
  PID:11280
- C:\Windows\System32\dIrraRg.exe
  C:\Windows\System32\dIrraRg.exe
  2⤵
  PID:11296
- C:\Windows\System32\Zofjaah.exe
  C:\Windows\System32\Zofjaah.exe
  2⤵
  PID:11324
- C:\Windows\System32\UWqzLwi.exe
  C:\Windows\System32\UWqzLwi.exe
  2⤵
  PID:11368
- C:\Windows\System32\LHebVhE.exe
  C:\Windows\System32\LHebVhE.exe
  2⤵
  PID:11392
- C:\Windows\System32\CMAEZXK.exe
  C:\Windows\System32\CMAEZXK.exe
  2⤵
  PID:11408
- C:\Windows\System32\sClGlbS.exe
  C:\Windows\System32\sClGlbS.exe
  2⤵
  PID:11452
- C:\Windows\System32\XVFHurq.exe
  C:\Windows\System32\XVFHurq.exe
  2⤵
  PID:11476
- C:\Windows\System32\feWplvP.exe
  C:\Windows\System32\feWplvP.exe
  2⤵
  PID:11520
- C:\Windows\System32\NlQFShc.exe
  C:\Windows\System32\NlQFShc.exe
  2⤵
  PID:11544
- C:\Windows\System32\EUDZBES.exe
  C:\Windows\System32\EUDZBES.exe
  2⤵
  PID:11568
- C:\Windows\System32\UMJTLhI.exe
  C:\Windows\System32\UMJTLhI.exe
  2⤵
  PID:11584
- C:\Windows\System32\XjHEWJZ.exe
  C:\Windows\System32\XjHEWJZ.exe
  2⤵
  PID:11604
- C:\Windows\System32\DEnHZcs.exe
  C:\Windows\System32\DEnHZcs.exe
  2⤵
  PID:11620
- C:\Windows\System32\SSUHdaC.exe
  C:\Windows\System32\SSUHdaC.exe
  2⤵
  PID:11672
- C:\Windows\System32\NpigLla.exe
  C:\Windows\System32\NpigLla.exe
  2⤵
  PID:11708
- C:\Windows\System32\zRoijpE.exe
  C:\Windows\System32\zRoijpE.exe
  2⤵
  PID:11748
- C:\Windows\System32\cjZTcrw.exe
  C:\Windows\System32\cjZTcrw.exe
  2⤵
  PID:11772
- C:\Windows\System32\LsOjnmc.exe
  C:\Windows\System32\LsOjnmc.exe
  2⤵
  PID:11800
- C:\Windows\System32\wdMhClb.exe
  C:\Windows\System32\wdMhClb.exe
  2⤵
  PID:11820
- C:\Windows\System32\hZDZQSg.exe
  C:\Windows\System32\hZDZQSg.exe
  2⤵
  PID:11844
- C:\Windows\System32\orfgqrx.exe
  C:\Windows\System32\orfgqrx.exe
  2⤵
  PID:11864
- C:\Windows\System32\jhwjMbI.exe
  C:\Windows\System32\jhwjMbI.exe
  2⤵
  PID:11888
- C:\Windows\System32\gCkceBi.exe
  C:\Windows\System32\gCkceBi.exe
  2⤵
  PID:11920
- C:\Windows\System32\ZPupKja.exe
  C:\Windows\System32\ZPupKja.exe
  2⤵
  PID:11940
- C:\Windows\System32\MQuxdRw.exe
  C:\Windows\System32\MQuxdRw.exe
  2⤵
  PID:12000
- C:\Windows\System32\dMQSSdn.exe
  C:\Windows\System32\dMQSSdn.exe
  2⤵
  PID:12036
- C:\Windows\System32\reUtqWz.exe
  C:\Windows\System32\reUtqWz.exe
  2⤵
  PID:12060
- C:\Windows\System32\XsrhErP.exe
  C:\Windows\System32\XsrhErP.exe
  2⤵
  PID:12084
- C:\Windows\System32\KtueZTF.exe
  C:\Windows\System32\KtueZTF.exe
  2⤵
  PID:12112
- C:\Windows\System32\fmYwQkT.exe
  C:\Windows\System32\fmYwQkT.exe
  2⤵
  PID:12136
- C:\Windows\System32\djVqqgC.exe
  C:\Windows\System32\djVqqgC.exe
  2⤵
  PID:12152
- C:\Windows\System32\wrNhMbO.exe
  C:\Windows\System32\wrNhMbO.exe
  2⤵
  PID:12188
- C:\Windows\System32\moYsaNZ.exe
  C:\Windows\System32\moYsaNZ.exe
  2⤵
  PID:12236
- C:\Windows\System32\udmkjWO.exe
  C:\Windows\System32\udmkjWO.exe
  2⤵
  PID:12252
- C:\Windows\System32\WELyeCh.exe
  C:\Windows\System32\WELyeCh.exe
  2⤵
  PID:10788
- C:\Windows\System32\lfCRLGh.exe
  C:\Windows\System32\lfCRLGh.exe
  2⤵
  PID:11276
- C:\Windows\System32\chymXfC.exe
  C:\Windows\System32\chymXfC.exe
  2⤵
  PID:11320
- C:\Windows\System32\PXlIUdc.exe
  C:\Windows\System32\PXlIUdc.exe
  2⤵
  PID:11376
- C:\Windows\System32\tgmZczs.exe
  C:\Windows\System32\tgmZczs.exe
  2⤵
  PID:11428
- C:\Windows\System32\lbDQOiN.exe
  C:\Windows\System32\lbDQOiN.exe
  2⤵
  PID:11468
- C:\Windows\System32\iDJhvgj.exe
  C:\Windows\System32\iDJhvgj.exe
  2⤵
  PID:11528
- C:\Windows\System32\QroohlK.exe
  C:\Windows\System32\QroohlK.exe
  2⤵
  PID:11588
- C:\Windows\System32\zSQjlJw.exe
  C:\Windows\System32\zSQjlJw.exe
  2⤵
  PID:11700
- C:\Windows\System32\cIawuSv.exe
  C:\Windows\System32\cIawuSv.exe
  2⤵
  PID:11732
- C:\Windows\System32\oqcLFcF.exe
  C:\Windows\System32\oqcLFcF.exe
  2⤵
  PID:11856
- C:\Windows\System32\muFtMlJ.exe
  C:\Windows\System32\muFtMlJ.exe
  2⤵
  PID:11936
- C:\Windows\System32\WCdQwen.exe
  C:\Windows\System32\WCdQwen.exe
  2⤵
  PID:11996
- C:\Windows\System32\wHBbFTJ.exe
  C:\Windows\System32\wHBbFTJ.exe
  2⤵
  PID:12108
- C:\Windows\System32\UEQNoEZ.exe
  C:\Windows\System32\UEQNoEZ.exe
  2⤵
  PID:12144
- C:\Windows\System32\vSgbwvO.exe
  C:\Windows\System32\vSgbwvO.exe
  2⤵
  PID:5056
- C:\Windows\System32\lhuyQmE.exe
  C:\Windows\System32\lhuyQmE.exe
  2⤵
  PID:12244
- C:\Windows\System32\QFIkHXp.exe
  C:\Windows\System32\QFIkHXp.exe
  2⤵
  PID:10888
- C:\Windows\System32\BnQbntS.exe
  C:\Windows\System32\BnQbntS.exe
  2⤵
  PID:11492
- C:\Windows\System32\vIfvQbX.exe
  C:\Windows\System32\vIfvQbX.exe
  2⤵
  PID:11600
- C:\Windows\System32\VlNMHly.exe
  C:\Windows\System32\VlNMHly.exe
  2⤵
  PID:11740
- C:\Windows\System32\DidSnhJ.exe
  C:\Windows\System32\DidSnhJ.exe
  2⤵
  PID:11916
- C:\Windows\System32\kInKtqr.exe
  C:\Windows\System32\kInKtqr.exe
  2⤵
  PID:12044
- C:\Windows\System32\VOcCSFY.exe
  C:\Windows\System32\VOcCSFY.exe
  2⤵
  PID:12228
- C:\Windows\System32\wutTaVH.exe
  C:\Windows\System32\wutTaVH.exe
  2⤵
  PID:11388
- C:\Windows\System32\PlanRsi.exe
  C:\Windows\System32\PlanRsi.exe
  2⤵
  PID:11780
- C:\Windows\System32\btQFqNl.exe
  C:\Windows\System32\btQFqNl.exe
  2⤵
  PID:12132
- C:\Windows\System32\iTFLxAc.exe
  C:\Windows\System32\iTFLxAc.exe
  2⤵
  PID:12020
- C:\Windows\System32\CfQxEIu.exe
  C:\Windows\System32\CfQxEIu.exe
  2⤵
  PID:11816
- C:\Windows\System32\ynQiMCv.exe
  C:\Windows\System32\ynQiMCv.exe
  2⤵
  PID:12300
- C:\Windows\System32\JpCEIgM.exe
  C:\Windows\System32\JpCEIgM.exe
  2⤵
  PID:12340
- C:\Windows\System32\tIxnrHg.exe
  C:\Windows\System32\tIxnrHg.exe
  2⤵
  PID:12364
- C:\Windows\System32\fYKWBue.exe
  C:\Windows\System32\fYKWBue.exe
  2⤵
  PID:12392
- C:\Windows\System32\DYWasTS.exe
  C:\Windows\System32\DYWasTS.exe
  2⤵
  PID:12428
- C:\Windows\System32\zTYnKrz.exe
  C:\Windows\System32\zTYnKrz.exe
  2⤵
  PID:12460
- C:\Windows\System32\WWIgUZX.exe
  C:\Windows\System32\WWIgUZX.exe
  2⤵
  PID:12480
- C:\Windows\System32\HtHbyvz.exe
  C:\Windows\System32\HtHbyvz.exe
  2⤵
  PID:12496
- C:\Windows\System32\cfGdIjp.exe
  C:\Windows\System32\cfGdIjp.exe
  2⤵
  PID:12520
- C:\Windows\System32\rgBCWiA.exe
  C:\Windows\System32\rgBCWiA.exe
  2⤵
  PID:12548
- C:\Windows\System32\huZrAPX.exe
  C:\Windows\System32\huZrAPX.exe
  2⤵
  PID:12580
- C:\Windows\System32\zSqLBzX.exe
  C:\Windows\System32\zSqLBzX.exe
  2⤵
  PID:12596
- C:\Windows\System32\NGykscN.exe
  C:\Windows\System32\NGykscN.exe
  2⤵
  PID:12644
- C:\Windows\System32\AvlZSjB.exe
  C:\Windows\System32\AvlZSjB.exe
  2⤵
  PID:12676
- C:\Windows\System32\pwFcvJQ.exe
  C:\Windows\System32\pwFcvJQ.exe
  2⤵
  PID:12708
- C:\Windows\System32\VFVJvlO.exe
  C:\Windows\System32\VFVJvlO.exe
  2⤵
  PID:12740
- C:\Windows\System32\UisvvoE.exe
  C:\Windows\System32\UisvvoE.exe
  2⤵
  PID:12760
- C:\Windows\System32\JvJjwVS.exe
  C:\Windows\System32\JvJjwVS.exe
  2⤵
  PID:12776
- C:\Windows\System32\MtQedvD.exe
  C:\Windows\System32\MtQedvD.exe
  2⤵
  PID:12800
- C:\Windows\System32\ElsVRdP.exe
  C:\Windows\System32\ElsVRdP.exe
  2⤵
  PID:12816
- C:\Windows\System32\pIfowpD.exe
  C:\Windows\System32\pIfowpD.exe
  2⤵
  PID:12832
- C:\Windows\System32\BOjmoul.exe
  C:\Windows\System32\BOjmoul.exe
  2⤵
  PID:12992
- C:\Windows\System32\kveZrdp.exe
  C:\Windows\System32\kveZrdp.exe
  2⤵
  PID:13012
- C:\Windows\System32\CIYFQbJ.exe
  C:\Windows\System32\CIYFQbJ.exe
  2⤵
  PID:13028
- C:\Windows\System32\sYrnUef.exe
  C:\Windows\System32\sYrnUef.exe
  2⤵
  PID:13068
- C:\Windows\System32\GmmXyzI.exe
  C:\Windows\System32\GmmXyzI.exe
  2⤵
  PID:13092
- C:\Windows\System32\PrtzhjX.exe
  C:\Windows\System32\PrtzhjX.exe
  2⤵
  PID:13124
- C:\Windows\System32\sIlPSWO.exe
  C:\Windows\System32\sIlPSWO.exe
  2⤵
  PID:13148
- C:\Windows\System32\CGYaEzM.exe
  C:\Windows\System32\CGYaEzM.exe
  2⤵
  PID:13164
- C:\Windows\System32\ePHxyIp.exe
  C:\Windows\System32\ePHxyIp.exe
  2⤵
  PID:13196
- C:\Windows\System32\hkPQoKX.exe
  C:\Windows\System32\hkPQoKX.exe
  2⤵
  PID:13216
- C:\Windows\System32\bDfUiPJ.exe
  C:\Windows\System32\bDfUiPJ.exe
  2⤵
  PID:13244
- C:\Windows\System32\ABTdkOB.exe
  C:\Windows\System32\ABTdkOB.exe
  2⤵
  PID:13260
- C:\Windows\System32\qvHsdHK.exe
  C:\Windows\System32\qvHsdHK.exe
  2⤵
  PID:13284
- C:\Windows\System32\edCeZsQ.exe
  C:\Windows\System32\edCeZsQ.exe
  2⤵
  PID:13300
- C:\Windows\System32\ItFRMdv.exe
  C:\Windows\System32\ItFRMdv.exe
  2⤵
  PID:12452
- C:\Windows\System32\sqQianT.exe
  C:\Windows\System32\sqQianT.exe
  2⤵
  PID:12488
- C:\Windows\System32\SbPgrDp.exe
  C:\Windows\System32\SbPgrDp.exe
  2⤵
  PID:12592
- C:\Windows\System32\NswYltf.exe
  C:\Windows\System32\NswYltf.exe
  2⤵
  PID:12640
- C:\Windows\System32\HXZhKTq.exe
  C:\Windows\System32\HXZhKTq.exe
  2⤵
  PID:12664
- C:\Windows\System32\VLxnhmS.exe
  C:\Windows\System32\VLxnhmS.exe
  2⤵
  PID:12216
- C:\Windows\System32\CJjizyq.exe
  C:\Windows\System32\CJjizyq.exe
  2⤵
  PID:12756
- C:\Windows\System32\LIOpDYI.exe
  C:\Windows\System32\LIOpDYI.exe
  2⤵
  PID:12960
- C:\Windows\System32\YhbldhG.exe
  C:\Windows\System32\YhbldhG.exe
  2⤵
  PID:12944
- C:\Windows\System32\rmHfLJE.exe
  C:\Windows\System32\rmHfLJE.exe
  2⤵
  PID:12916
- C:\Windows\System32\chdFUJJ.exe
  C:\Windows\System32\chdFUJJ.exe
  2⤵
  PID:12980
- C:\Windows\System32\MzfLZgF.exe
  C:\Windows\System32\MzfLZgF.exe
  2⤵
  PID:2660
- C:\Windows\System32\BPHuJVj.exe
  C:\Windows\System32\BPHuJVj.exe
  2⤵
  PID:13048
- C:\Windows\System32\ydIWPNl.exe
  C:\Windows\System32\ydIWPNl.exe
  2⤵
  PID:13116
- C:\Windows\System32\WiTaZwm.exe
  C:\Windows\System32\WiTaZwm.exe
  2⤵
  PID:13080
- C:\Windows\System32\MsIgPhp.exe
  C:\Windows\System32\MsIgPhp.exe
  2⤵
  PID:13208
- C:\Windows\System32\gFDlTWf.exe
  C:\Windows\System32\gFDlTWf.exe
  2⤵
  PID:13252
- C:\Windows\System32\QRHFsjW.exe
  C:\Windows\System32\QRHFsjW.exe
  2⤵
  PID:13292
- C:\Windows\System32\HJkzEIo.exe
  C:\Windows\System32\HJkzEIo.exe
  2⤵
  PID:12380
- C:\Windows\System32\saMvdrl.exe
  C:\Windows\System32\saMvdrl.exe
  2⤵
  PID:12628
- C:\Windows\System32\FqtMQqG.exe
  C:\Windows\System32\FqtMQqG.exe
  2⤵
  PID:12796
- C:\Windows\System32\xDAhGQk.exe
  C:\Windows\System32\xDAhGQk.exe
  2⤵
  PID:12868
- C:\Windows\System32\tKhEGVx.exe
  C:\Windows\System32\tKhEGVx.exe
  2⤵
  PID:13156
- C:\Windows\System32\EfFaYmm.exe
  C:\Windows\System32\EfFaYmm.exe
  2⤵
  PID:13236
- C:\Windows\System32\yqZDMjD.exe
  C:\Windows\System32\yqZDMjD.exe
  2⤵
  PID:4864
- C:\Windows\System32\QVTqfoF.exe
  C:\Windows\System32\QVTqfoF.exe
  2⤵
  PID:12824
- C:\Windows\System32\CfjWcYk.exe
  C:\Windows\System32\CfjWcYk.exe
  2⤵
  PID:12892
- C:\Windows\System32\WNNkRWD.exe
  C:\Windows\System32\WNNkRWD.exe
  2⤵
  PID:12872
- C:\Windows\System32\RjpRMAE.exe
  C:\Windows\System32\RjpRMAE.exe
  2⤵
  PID:4856
- C:\Windows\System32\rXWtmgv.exe
  C:\Windows\System32\rXWtmgv.exe
  2⤵
  PID:12456
- C:\Windows\System32\OlFKhBZ.exe
  C:\Windows\System32\OlFKhBZ.exe
  2⤵
  PID:12964
- C:\Windows\System32\YcYttCW.exe
  C:\Windows\System32\YcYttCW.exe
  2⤵
  PID:2604
- C:\Windows\System32\cptAXlE.exe
  C:\Windows\System32\cptAXlE.exe
  2⤵
  PID:12564
- C:\Windows\System32\tLeIVdj.exe
  C:\Windows\System32\tLeIVdj.exe
  2⤵
  PID:13088
- C:\Windows\System32\bEBdRLv.exe
  C:\Windows\System32\bEBdRLv.exe
  2⤵
  PID:13328
- C:\Windows\System32\poqGbzC.exe
  C:\Windows\System32\poqGbzC.exe
  2⤵
  PID:13372
- C:\Windows\System32\vOeycPK.exe
  C:\Windows\System32\vOeycPK.exe
  2⤵
  PID:13448
- C:\Windows\System32\XqgUMog.exe
  C:\Windows\System32\XqgUMog.exe
  2⤵
  PID:13476

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:14208

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ErAgcQh.exe

Filesize
1.0MB

MD5
aea233c2ace8f30f68a3b40f3cb77833

SHA1
490d59a92d1e9c55d9e07d24451062679ed0f088

SHA256
300960cb6ca8496b48d7b2338fe052503f91717a00b4d6e7bf6f0c382ae27f5d

SHA512
9980a1300758e80904a428049557adf2117973295cefe71a490f47f8b54a9d41294647775aa38e48da4309842ab80afedf2547042008d2880b7309584c2e2606

Download Submit
C:\Windows\System32\FajHmki.exe

Filesize
1.0MB

MD5
a1d6f562375ac1c3853c0e7be9e7c4ed

SHA1
cc6aeba288575672c4acfb29c401bfff8c1619b1

SHA256
27b1c9dc4bcd056a80d66c6b631cf5ecfa88dc429959449ae2ea2e09acfdb0ad

SHA512
e51dea8588d6958457495f2c570fb7917569801adb1545c34b6823a95351354ed348a52a1c21ea0cf8cc7610b506f8581c614c3f15b8fcfde11e6d41abe73d38

Download Submit
C:\Windows\System32\GyJIrmh.exe

Filesize
1.0MB

MD5
c63f24299b6f9513c9cb014382a4e25a

SHA1
f5e1dafe93206c8bb84b7f25db6db8e62540fe87

SHA256
bc46d59e51640ce52e5f81117ac57dc1bf461bb986ae0702d8f7e3ed565c61f5

SHA512
b8387aa56b89b848a35847cf05fa8244ff179b63bea13af024dff1fd9c9a55b906b32148445f25effdbe6b5b80410b176b980357f052779a4524b740d603729b

Download Submit
C:\Windows\System32\HCDedIG.exe

Filesize
1.0MB

MD5
444e8b28fb520fe6428571c32d31d491

SHA1
3ac4a186d1f126de60547e6055b7da8afc6848df

SHA256
b8e4df162a7183274fb2df2f08b5fd0dada495e61c4fde188fc1cd6efa743709

SHA512
207649da4a21957ce81725570d3c882d299cc0e13c1ce3d5fba33ff90a2659ea229d7d417e226c0cbaf385d18696fc28ab947b078fd1fb7203d27e8102191163

Download Submit
C:\Windows\System32\HzslmKB.exe

Filesize
1.0MB

MD5
e9a2a67cb8e8f14d3b34f0a032aa5511

SHA1
94a033bd754e990ac70f72917fa21ed1b99a8246

SHA256
330073098ea323be37b2398368c8d729d8bc47543d6f43f143a2ac23911ed354

SHA512
b2815bd8db224a370e218d218d78640ef01d1cab348fc38f7c6c6c8e272eff00679e95eb618e0423b9cc4131e8ff2136f49fbc089bc5b0352dd7ebe801e56638

Download Submit
C:\Windows\System32\JaLVFTw.exe

Filesize
1.0MB

MD5
f5df002a3feaa19484d8c25929fa5515

SHA1
dcdbfb3a3dbe9385afc942b46cba6608155a18b5

SHA256
c498f22a935e14f3c09014824669ab35424bac35ca127f96ba8dc6b216205b4b

SHA512
271fb0bfb7283441811948753c99a489dd82c69787ad90f6840fb7c0645b5d17120fd98b434563f470a59fe8d9fdb0ce9f31378a9f6b299d12aeb1df6aab022d

Download Submit
C:\Windows\System32\LwKiLYu.exe

Filesize
1.0MB

MD5
c14bbda6ab7ebf95d9f7790905a471fb

SHA1
6d3404a7678097aa755298404da6ed00558d6a54

SHA256
af5efe47f47643c0cd21d6bcf23d9ec24e266c8035fe79559523323938691a1d

SHA512
c2d26a47452825122ec04eaef2c354a22909e394d9bc885e5247f8023dcdd61ee4495f2c6d9d301deb5ac5cf0e6d4b03435d9fe8c93534f6cf7a24cd6e34c8d2

Download Submit
C:\Windows\System32\MiUbcCF.exe

Filesize
1.0MB

MD5
fad1f48dc039a96edfb0348ff790b042

SHA1
3a4bc134a42dc55b67a0e25a9e7b4e54cd8574a2

SHA256
9d28c6f58b01ceb014b322f2abade42ddc195026ab927afb6ab0104140c171f6

SHA512
ec64e79f5a5bdc9e2926e8885a874f0c61a3bbb7a6ab01b01110b76b37d5845b13f6db15fbe58cf2e79c7399fd950c1d03d741f5d9a426630231840d300ce656

Download Submit
C:\Windows\System32\NldKpFQ.exe

Filesize
1.0MB

MD5
dc3d63a32ad4652cd1c74a121a372d9b

SHA1
191cd953f3c5f4a1fe9608c5892e744c1ad0e3a8

SHA256
7e64ab90c51ff5975049ca3e93735c62155fa36be8f68a295154206348e4fcf5

SHA512
000d42d2fd07ea591da454c11af3792e75b0ccacef53560f1b0561a5c905145ce4948ab35a166135822b08756824462566d23a46b23c6165aa89d367f33cea4a

Download Submit
C:\Windows\System32\PjqTUnJ.exe

Filesize
1.0MB

MD5
ce2b540a168140b8a9e7f550acbc8594

SHA1
537749ce4e5148df4ca9cc6432ca94f071ed7ba8

SHA256
ff41e49932772b623600a53356f1fe13223e278739d9ff808858dcfc0c7598a8

SHA512
91cf93f8edf4f3e40a6805b04ae0c6187288f5e84ebffb047a3b104e385135514f073018cf80732bd5bc32b7563de98bfcb25e852f07b42148b5a7adc621a696

Download Submit
C:\Windows\System32\QpCXGaF.exe

Filesize
1.0MB

MD5
432886af8c251a991438709aba8b8242

SHA1
c326e4fcc5fc1bc72d177dd63ae28fe11466067b

SHA256
407bb9e597cf2021dcaa8e34e105b83bd17f484a793297aa50326e1e76835a4f

SHA512
6f4dca67991583dd24fe08ff0bc429fd50a4cf0f385b1cf04d3391f20364e2fd9967b41c937361cb17e92e9d77c32c8d370e3c4f145a2a3b568770c99a5e056c

Download Submit
C:\Windows\System32\RypfJRY.exe

Filesize
1.0MB

MD5
fcc4f921deae8ce53f6aae53278445e9

SHA1
c2b0712176bc35213302567297d4245b5ed69f5e

SHA256
035d5b6eba23f02037e3dcb4a3d20bcb85d4ac38f6977de9d809542dc7ae86e2

SHA512
6aa9105cf921218564690b4209dacb255d55e6f071f3959eead73c7ef4795a84d5579b08e2a5ce166716d97d8d995b784431009a3d900ce882acf4a283b078de

Download Submit
C:\Windows\System32\SgucZjs.exe

Filesize
1.0MB

MD5
07ed7d05bf36d891f02f00e0060de762

SHA1
981783aa0c2346aa76f6203a2e17b503c229625d

SHA256
6e44330cd1f7a885f1a304434685f555040555515b2e31d7a5af36f3903bb06e

SHA512
7fad4d34072e8e49f9d6775b0adcf5fca2943d8b4e1a9103377f3feb31cd71a7df71191b7f529a300b46d3e5fac4414eb380854c57d29c9d0703e2f6ecff8a95

Download Submit
C:\Windows\System32\SxVBwcI.exe

Filesize
1.0MB

MD5
f4d3cea846b40d922ae668980d034ed7

SHA1
77fd48b453c3f3d70f39fdfc794e1ceb4d0e9153

SHA256
38c5a616e9cc063c342fa50eb84dfc1f7817f656b338b57c3f516f65cd35040f

SHA512
8e95926837f4935dfd906048620fc3e7e2686941ed2e95e39f5aefe29fcd350a930b601488c1d0e889e839083169085d5513a20e4bf18950a7684668cd55c40e

Download Submit
C:\Windows\System32\YGsSlTC.exe

Filesize
1.0MB

MD5
4e9d77931ceceb6820e7986871f1af38

SHA1
edf80ba34a48da879fc32616ca1f0ec2fd538707

SHA256
010d91b407863721404e0bf861784d776e211d9f3d55082e4f42d219270a8d9c

SHA512
44b66565203b9a1a71af551c31955abe1302238179be4e78f672ebd74be1c7443aaad7137c92e593a5435474c58178f9ff41e77f64a5b800f0ed400164229ff6

Download Submit
C:\Windows\System32\YKEkrlH.exe

Filesize
1.0MB

MD5
c55e479cd3ad49a3fbef1e841433db8b

SHA1
02576aba332b180ea822b95663855ee7936a62e1

SHA256
735e58b98fd40a734ec33ecc2cc4c566941a1154bcc6235f135b3de194c99265

SHA512
b6cfa9e72fb700a2c18b73d3d7893edda72ef43b3da4a41437bb7050fdca2244f40af6c8fbea2275640eef8cc894ea7e9d6d78a94a115ce50b8672af285c2d67

Download Submit
C:\Windows\System32\YpaMunq.exe

Filesize
1.0MB

MD5
9cabcb41b68824c83cfca0743e9b3192

SHA1
7cb049bf84aa73fa8b221b781b43206141b9194a

SHA256
a169fa22dc63553fc2fdb9ffa3bd7f528f762e078514c3c466cb11bee1181b20

SHA512
1edd8b5cbb0c85a11de2825eafd023b945986f843b02702da73680d7e09f0099ea71ec719648892712c47c56b27668c73172728e88444a62d0fdee9f7ecdde8c

Download Submit
C:\Windows\System32\ZvmqGEQ.exe

Filesize
1.0MB

MD5
8bb0d5e33c8d79e215bca673444883a8

SHA1
527c51eae3ab8feb7c6ba11faebc6a11c3dd3359

SHA256
670b94d0c3425e390c0d9d312d54bc10f6578fd9d4cd5d12a25109a0284c2000

SHA512
7947a6c1d975beea156cc9854b12a41fd6fe90255d67b0e56b9cda1a7a3f1a9d2f30841ed0c156b6dcd154f5ceb2ef6e447c1b15733e9e8b2954dd2a816810c9

Download Submit
C:\Windows\System32\bkTwnRE.exe

Filesize
1.0MB

MD5
b1090e0e4f90d0b510f319384f5866f7

SHA1
6e8e0949945be516c1d5ed257096ce7cd08a2066

SHA256
122321398d951046e2f010d0fe184debcac7bef12dfd80d68b6d17450c8f2f1c

SHA512
d90581a2df5455ee3fcd9bc7a15760b2736caa943f17679704bbd73f90f16153cf5abba76626faab7dfeb35a6662d40a49993d051bb5e65f3575f3629d47d771

Download Submit
C:\Windows\System32\cNfrfRj.exe

Filesize
1.0MB

MD5
3285348fffe73a721f6ba5ed74ea9eae

SHA1
a3f818aa9be52422e881181a5fee22f05d681f75

SHA256
51c89fb6c91bee3144208539afbbbd2ba183e11bf66bbc0cd0f749ed511c1cc2

SHA512
3ed0601448c92454686de98d75372720d472724fa824380f35935e49b54fa6972404c38bed9705e774a6071215826bcc4ce51a66c673e579cbec836f6eb220e5

Download Submit
C:\Windows\System32\fvKClgx.exe

Filesize
1.0MB

MD5
5851440c0a56bc277ddc9bd626de6b07

SHA1
469175a89bd96b4588edc549ce8cb5c2d5787767

SHA256
e9ea442e96a78326212c8adfc5c4c0e2aea20380ac82da1047843f03e3406608

SHA512
61f8be67a198eb5e8a3469f4b88d2972546ad26b7f19e19e3581d02e21e5e5d936ddc210f92b8f674602402767e4353ef8d461bd153391d79c86b1d0f5f5d03d

Download Submit
C:\Windows\System32\hGyCAck.exe

Filesize
1.0MB

MD5
48a01ceb2590f1e3783a8a9d4d8870a9

SHA1
2904a9c515348cb2bb947dbc88888d4a6a1db3da

SHA256
23896a0e1e13844b735f98f0aca9d1f6dc7f3ed2b01631566e05aac0ff61c1ec

SHA512
c9d301fc746de592525e384413c2c6b6adb69e9979e202f55f05958a1ca092ba49eb43420bea5664e903f37ace2498a3756c216ab3e1f6d516c6376b6ef452bf

Download Submit
C:\Windows\System32\ijcrAYn.exe

Filesize
1.0MB

MD5
fbd3ce2f9a902bf06eaef20de1e636f0

SHA1
873d93033c413627934349b244e121666b6750bd

SHA256
3fc854b60701288b36905fd88e0ae5a0ea8962f3256d507d8a68604d4be7c147

SHA512
61d430879d8187dd363fdf2761ab793b0d506ab78032931db8d8a2293b9c969c0a64d4bcf48e364693010d0e2fae927dfb00759d131075d578d8079e6186ef6f

Download Submit
C:\Windows\System32\jEZeYGP.exe

Filesize
1.0MB

MD5
f2f835fe3b0f4e332fe924ebc7c214ac

SHA1
f8ae3918bf699c92ea5272a2969307e6388585b6

SHA256
163892b0d8d85f331ca568bf8c570cd2b82acc645860336c2ca2708cab4b7e83

SHA512
6fd94effea6348e8cf535f50d64994b59e088e12c1c3269bb729a885457052dc942d8cac6b14f6f8a70228237d074c2aa9cf846ac2f43b8e005c1debd3850657

Download Submit
C:\Windows\System32\jGmWzuh.exe

Filesize
1.0MB

MD5
24ff0bcd2c4e77491479d74ca0d79bb0

SHA1
74a14fd3f909044ebe7b451ee009580d23d246e9

SHA256
47899bd669f6be20b521296bcc9f16f686aa9ca7415757491f163d522e752ba9

SHA512
4a7c310b677c2550faf524a1e00fb7227ded3bbc004c9dd920c4f3152b9c434dd18390add1ac23b1d19ef12d4605c1acbe14ae312ee45788ac3a6d1a3276453a

Download Submit
C:\Windows\System32\jQppvIT.exe

Filesize
1.0MB

MD5
09694ca1420e4565ad856d66247afb2e

SHA1
8911ac1042024461bf07d98f4baa9839213ef063

SHA256
29f4913a928f13f02b748ba5831f88cbb7847fa9f88ac569c8f147a95dcdfc13

SHA512
7e37244c6b7d5fde836f8788d7d27c10eb0c9658543fa35be59987ce2ff12ce9e236b7ec27603b715bc12b232aa55d614234a279974214b2cb55b31d33615a57

Download Submit
C:\Windows\System32\kKcBuMn.exe

Filesize
1.0MB

MD5
228f0e0d3d4a604d9ad6d8296c35a78c

SHA1
5f75dc425f1d05a86cda024ef2ded25ad662926f

SHA256
3318699131fa3e507c208d6f567fe1191cd5328d659d58b0e779ca6f2ae2ddcf

SHA512
1fdd4c3d0f313db1763f30ed18a1c16c6609a29b48c3b47b412b6112a11d68a040ef9826761fdc0530cff0cbb9a1c5c19f78aed223fa5c3d8ab5f4ef4933f423

Download Submit
C:\Windows\System32\kzAWKhC.exe

Filesize
1.0MB

MD5
dc07c1dad113cf94c73728440c2e6d4e

SHA1
741b555c83298d8fe111491789ccd18a076209b5

SHA256
e5e381000f8c8c525f8b0ab31ae86815b9d59338e2c6a16077a760164d8b1da7

SHA512
3ca2eba0a78170e7c1547c5ee264d739640718282ec529bdcbe7f213f445e492c304deec4d582eb7ad77e5a868abac37b6d896677f55b803a8b0064de7d96d10

Download Submit
C:\Windows\System32\ndCFviu.exe

Filesize
1.0MB

MD5
65406c67f5d7bba8dd51dcb2bd597d9a

SHA1
c308fa3f0ab0b5f5126437ba88730f191f9af660

SHA256
380086f07e04a763b72cc31e1db24b5af9b449d343b44a706f1963dde1324d18

SHA512
594293dccf7162a37fc298d786119c7345ce666ff5eeacebe3186c93ae6b947415d3d9eb8e4b8925ccf188c7cd55718d68e0aaa2ceeae95661abe4e54422a35a

Download Submit
C:\Windows\System32\qchhxHu.exe

Filesize
1.0MB

MD5
d334aeeb85f76266be1f690bb407730c

SHA1
6a3009d29beede0eeecfa62195ebde5b77dafb82

SHA256
58eb997318920ee6e041dda9944db91af30fbdc63318522e319610a39d155659

SHA512
ad481e66602f18d150df6c52e24e5a3fbcc5bab9cb9655563a55f3e24df093ae6a8016f416693541cc77c42a03ceb5c1b81fdfadd816fa556edc267c9d90fb8d

Download Submit
C:\Windows\System32\zOPGYCi.exe

Filesize
1.0MB

MD5
0c846f90bf96bca2fc18655566a0ab1e

SHA1
a2ee6e55b02fc28a3e1c76447fad445adaddfec1

SHA256
6cc1eaa870c4d333d857811fa0e7981cc66c3af74cda37473fcfe6d4806657f9

SHA512
6658ef6fce7709ccdc084fe70a0de2ad869cb4ae6053f62d7cecd773aa212f5cc4ee01d7f14348d14c01c248f2bccf9bb8ce1c9bebf5c3d539e24467161fbaf6

Download Submit
C:\Windows\System32\zUrXIBT.exe

Filesize
1.0MB

MD5
990641167b7b9087c8b55be41408b7a6

SHA1
ca685a0d6729bbde3212e2f5ec82e095c6815587

SHA256
a4b0d83b0b471283cfe5d9ea498ef5056d471907d7c1282afe418e028a0fecc7

SHA512
bd8b20e5188495c2a1506c7d9fb0208db8d4b84c97364f859d325a2a1c0328bf6ff98d08523ded206c0e35008e22d56f57f14064a6cd6fb619d8dd66235e28de

Download Submit
memory/1368-466-0x00007FF73E810000-0x00007FF73EC01000-memory.dmp

Filesize
3.9MB

Download
memory/1368-2229-0x00007FF73E810000-0x00007FF73EC01000-memory.dmp

Filesize
3.9MB

Download
memory/1684-455-0x00007FF6B1D50000-0x00007FF6B2141000-memory.dmp

Filesize
3.9MB

Download
memory/1796-2191-0x00007FF628F10000-0x00007FF629301000-memory.dmp

Filesize
3.9MB

Download
memory/1796-440-0x00007FF628F10000-0x00007FF629301000-memory.dmp

Filesize
3.9MB

Download
memory/1812-445-0x00007FF7BB790000-0x00007FF7BBB81000-memory.dmp

Filesize
3.9MB

Download
memory/1976-438-0x00007FF64C660000-0x00007FF64CA51000-memory.dmp

Filesize
3.9MB

Download
memory/1976-2173-0x00007FF64C660000-0x00007FF64CA51000-memory.dmp

Filesize
3.9MB

Download
memory/2012-2187-0x00007FF610B30000-0x00007FF610F21000-memory.dmp

Filesize
3.9MB

Download
memory/2012-446-0x00007FF610B30000-0x00007FF610F21000-memory.dmp

Filesize
3.9MB

Download
memory/2204-33-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp

Filesize
3.9MB

Download
memory/2204-2165-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp

Filesize
3.9MB

Download
memory/2204-1476-0x00007FF6A3560000-0x00007FF6A3951000-memory.dmp

Filesize
3.9MB

Download
memory/2220-439-0x00007FF6C2E00000-0x00007FF6C31F1000-memory.dmp

Filesize
3.9MB

Download
memory/2220-2171-0x00007FF6C2E00000-0x00007FF6C31F1000-memory.dmp

Filesize
3.9MB

Download
memory/2224-2161-0x00007FF70A460000-0x00007FF70A851000-memory.dmp

Filesize
3.9MB

Download
memory/2224-22-0x00007FF70A460000-0x00007FF70A851000-memory.dmp

Filesize
3.9MB

Download
memory/2224-1245-0x00007FF70A460000-0x00007FF70A851000-memory.dmp

Filesize
3.9MB

Download
memory/2520-0-0x00007FF6405C0000-0x00007FF6409B1000-memory.dmp

Filesize
3.9MB

Download
memory/2520-1-0x0000029165080000-0x0000029165090000-memory.dmp

Filesize
64KB

Download
memory/2520-736-0x00007FF6405C0000-0x00007FF6409B1000-memory.dmp

Filesize
3.9MB

Download
memory/2704-465-0x00007FF68E290000-0x00007FF68E681000-memory.dmp

Filesize
3.9MB

Download
memory/2812-436-0x00007FF6A3600000-0x00007FF6A39F1000-memory.dmp

Filesize
3.9MB

Download
memory/2812-2175-0x00007FF6A3600000-0x00007FF6A39F1000-memory.dmp

Filesize
3.9MB

Download
memory/3076-2159-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp

Filesize
3.9MB

Download
memory/3076-15-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp

Filesize
3.9MB

Download
memory/3076-878-0x00007FF7CECA0000-0x00007FF7CF091000-memory.dmp

Filesize
3.9MB

Download
memory/3168-474-0x00007FF6737C0000-0x00007FF673BB1000-memory.dmp

Filesize
3.9MB

Download
memory/3440-437-0x00007FF62C7F0000-0x00007FF62CBE1000-memory.dmp

Filesize
3.9MB

Download
memory/3440-2177-0x00007FF62C7F0000-0x00007FF62CBE1000-memory.dmp

Filesize
3.9MB

Download
memory/3536-2167-0x00007FF751170000-0x00007FF751561000-memory.dmp

Filesize
3.9MB

Download
memory/3536-1352-0x00007FF751170000-0x00007FF751561000-memory.dmp

Filesize
3.9MB

Download
memory/3536-29-0x00007FF751170000-0x00007FF751561000-memory.dmp

Filesize
3.9MB

Download
memory/3632-1121-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp

Filesize
3.9MB

Download
memory/3632-16-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp

Filesize
3.9MB

Download
memory/3632-2163-0x00007FF7CA850000-0x00007FF7CAC41000-memory.dmp

Filesize
3.9MB

Download
memory/3936-873-0x00007FF629570000-0x00007FF629961000-memory.dmp

Filesize
3.9MB

Download
memory/3936-9-0x00007FF629570000-0x00007FF629961000-memory.dmp

Filesize
3.9MB

Download
memory/3936-2133-0x00007FF629570000-0x00007FF629961000-memory.dmp

Filesize
3.9MB

Download
memory/3960-443-0x00007FF6F94C0000-0x00007FF6F98B1000-memory.dmp

Filesize
3.9MB

Download
memory/3980-2189-0x00007FF645180000-0x00007FF645571000-memory.dmp

Filesize
3.9MB

Download
memory/3980-447-0x00007FF645180000-0x00007FF645571000-memory.dmp

Filesize
3.9MB

Download
memory/4448-444-0x00007FF6D9760000-0x00007FF6D9B51000-memory.dmp

Filesize
3.9MB

Download
memory/4588-2169-0x00007FF7119F0000-0x00007FF711DE1000-memory.dmp

Filesize
3.9MB

Download
memory/4588-435-0x00007FF7119F0000-0x00007FF711DE1000-memory.dmp

Filesize
3.9MB

Download
memory/4588-1479-0x00007FF7119F0000-0x00007FF711DE1000-memory.dmp

Filesize
3.9MB

Download
memory/4908-2185-0x00007FF7C8DF0000-0x00007FF7C91E1000-memory.dmp

Filesize
3.9MB

Download
memory/4908-442-0x00007FF7C8DF0000-0x00007FF7C91E1000-memory.dmp

Filesize
3.9MB

Download
memory/4932-2181-0x00007FF74F080000-0x00007FF74F471000-memory.dmp

Filesize
3.9MB

Download
memory/4932-441-0x00007FF74F080000-0x00007FF74F471000-memory.dmp

Filesize
3.9MB

Download
memory/5108-459-0x00007FF683E60000-0x00007FF684251000-memory.dmp

Filesize
3.9MB

Download
memory/5108-2224-0x00007FF683E60000-0x00007FF684251000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads