xmrig | 3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979

Analysis

max time kernel
149s
max time network
148s
platform
windows10-2004_x64
resource
win10v2004-20250314-en
resource tags

arch:x64arch:x86image:win10v2004-20250314-enlocale:en-usos:windows10-2004-x64system
submitted
28/03/2025, 18:24

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
Size

2.6MB
MD5

abcc01f9b2b007533beb2625ae8a8e27
SHA1

2a7d4081c1625c5e501863b0f585f20ccf9d3bf9
SHA256

3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979
SHA512

fd77389241d101c0c386e8163ac88a856c32862eca07362d310a28ba82e6778a6cd1ff1171e6064a7353859d6cd76247cfd388450243368faff61192e713c6ae
SSDEEP

49152:w0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8DzHUrMgW4:w0GnJMOWPClFdx6e0EALKWVTffZiPAck

Score

10^/10

xmrig miner upx

Malware Config

Signatures

Xmrig family
xmrig
xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/6120-0-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp	xmrig
behavioral2/files/0x00050000000229c8-4.dat	xmrig
behavioral2/files/0x00070000000242f0-9.dat	xmrig
behavioral2/files/0x00070000000242f1-18.dat	xmrig
behavioral2/files/0x00070000000242ef-19.dat	xmrig
behavioral2/files/0x00070000000242f3-31.dat	xmrig
behavioral2/files/0x00070000000242f4-39.dat	xmrig
behavioral2/files/0x00070000000242f6-47.dat	xmrig
behavioral2/files/0x00070000000242f7-54.dat	xmrig
behavioral2/files/0x00070000000242f8-59.dat	xmrig
behavioral2/files/0x00070000000242fb-74.dat	xmrig
behavioral2/files/0x00070000000242fe-87.dat	xmrig
behavioral2/files/0x0007000000024300-99.dat	xmrig
behavioral2/files/0x0007000000024303-114.dat	xmrig
behavioral2/files/0x000700000002430b-154.dat	xmrig
behavioral2/memory/564-791-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp	xmrig
behavioral2/files/0x000700000002430d-164.dat	xmrig
behavioral2/files/0x000700000002430c-159.dat	xmrig
behavioral2/memory/3348-792-0x00007FF6DAAD0000-0x00007FF6DAEC5000-memory.dmp	xmrig
behavioral2/files/0x000700000002430a-149.dat	xmrig
behavioral2/memory/3580-793-0x00007FF655800000-0x00007FF655BF5000-memory.dmp	xmrig
behavioral2/memory/4116-794-0x00007FF7CC6B0000-0x00007FF7CCAA5000-memory.dmp	xmrig
behavioral2/files/0x0007000000024309-144.dat	xmrig
behavioral2/files/0x0007000000024308-139.dat	xmrig
behavioral2/files/0x0007000000024307-134.dat	xmrig
behavioral2/files/0x0007000000024306-129.dat	xmrig
behavioral2/files/0x0007000000024305-124.dat	xmrig
behavioral2/files/0x0007000000024304-119.dat	xmrig
behavioral2/files/0x0007000000024302-109.dat	xmrig
behavioral2/files/0x0007000000024301-104.dat	xmrig
behavioral2/files/0x00070000000242ff-94.dat	xmrig
behavioral2/files/0x00070000000242fd-84.dat	xmrig
behavioral2/files/0x00070000000242fc-79.dat	xmrig
behavioral2/files/0x00070000000242fa-69.dat	xmrig
behavioral2/memory/3836-795-0x00007FF727B70000-0x00007FF727F65000-memory.dmp	xmrig
behavioral2/memory/1476-796-0x00007FF721DF0000-0x00007FF7221E5000-memory.dmp	xmrig
behavioral2/memory/3328-797-0x00007FF62BDF0000-0x00007FF62C1E5000-memory.dmp	xmrig
behavioral2/memory/5236-798-0x00007FF7EDF10000-0x00007FF7EE305000-memory.dmp	xmrig
behavioral2/memory/3264-799-0x00007FF751E10000-0x00007FF752205000-memory.dmp	xmrig
behavioral2/memory/4496-800-0x00007FF6F7B70000-0x00007FF6F7F65000-memory.dmp	xmrig
behavioral2/memory/5828-801-0x00007FF694920000-0x00007FF694D15000-memory.dmp	xmrig
behavioral2/files/0x00070000000242f9-64.dat	xmrig
behavioral2/files/0x00070000000242f5-44.dat	xmrig
behavioral2/memory/4576-820-0x00007FF65EE40000-0x00007FF65F235000-memory.dmp	xmrig
behavioral2/memory/4708-833-0x00007FF7A74A0000-0x00007FF7A7895000-memory.dmp	xmrig
behavioral2/memory/4748-836-0x00007FF73B240000-0x00007FF73B635000-memory.dmp	xmrig
behavioral2/memory/4820-840-0x00007FF63ADC0000-0x00007FF63B1B5000-memory.dmp	xmrig
behavioral2/memory/4612-813-0x00007FF79F8D0000-0x00007FF79FCC5000-memory.dmp	xmrig
behavioral2/memory/756-809-0x00007FF75FE50000-0x00007FF760245000-memory.dmp	xmrig
behavioral2/memory/4912-844-0x00007FF6CE220000-0x00007FF6CE615000-memory.dmp	xmrig
behavioral2/memory/4876-848-0x00007FF721180000-0x00007FF721575000-memory.dmp	xmrig
behavioral2/memory/5092-957-0x00007FF64AAB0000-0x00007FF64AEA5000-memory.dmp	xmrig
behavioral2/memory/2808-850-0x00007FF7B7E00000-0x00007FF7B81F5000-memory.dmp	xmrig
behavioral2/files/0x00070000000242f2-29.dat	xmrig
behavioral2/memory/1584-24-0x00007FF670630000-0x00007FF670A25000-memory.dmp	xmrig
behavioral2/memory/1344-17-0x00007FF66C160000-0x00007FF66C555000-memory.dmp	xmrig
behavioral2/memory/2472-7-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp	xmrig
behavioral2/memory/6120-1503-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp	xmrig
behavioral2/memory/2472-1633-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp	xmrig
behavioral2/memory/1344-1765-0x00007FF66C160000-0x00007FF66C555000-memory.dmp	xmrig
behavioral2/memory/1584-1848-0x00007FF670630000-0x00007FF670A25000-memory.dmp	xmrig
behavioral2/memory/564-1849-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp	xmrig
behavioral2/memory/6120-1850-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp	xmrig
behavioral2/memory/2472-1851-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2472	vEaDVDl.exe
1344	JLQZBak.exe
1584	BsTVcaf.exe
564	fjifKfh.exe
3348	EQnnpdp.exe
5092	tXoArGv.exe
3580	xzPAPgM.exe
4116	WIGpVTx.exe
3836	DVRDKtK.exe
1476	buSWGJn.exe
3328	NfeywKp.exe
5236	RzwcIZP.exe
3264	lWpqaRX.exe
4496	MzItquG.exe
5828	BJZdxXR.exe
756	NiNgwgR.exe
4612	XIzyRVw.exe
4576	MdeUTrq.exe
4708	GSwLsWA.exe
4748	vEccKwW.exe
4820	WsXIyGh.exe
4912	krHrgDe.exe
4876	pfJplcH.exe
2808	lreIEVj.exe
1544	lqFBxeC.exe
1448	NWRPGPk.exe
4800	ciYGKzn.exe
4856	wiQuvoc.exe
1148	IIxFogA.exe
5020	UJGKoDB.exe
4920	DLcTNej.exe
3088	NXmpmbo.exe
1236	JGsbbpp.exe
5148	pxPhyMw.exe
3268	waeDfyF.exe
3792	HyiunzY.exe
3944	qXgODkk.exe
888	YTWCJep.exe
5428	BJxKrKF.exe
4452	sCQEPdK.exe
652	RBUSzIJ.exe
2408	GcIgmjJ.exe
2244	WNeApWB.exe
2332	ZhCqImH.exe
1496	elgvzPi.exe
1768	xxcOUxd.exe
5264	AcazBbY.exe
5964	yqKEaSR.exe
1464	bTJXhkG.exe
5160	PzDRvdv.exe
5604	MyDMibH.exe
4480	SFMFfLM.exe
2968	LbETAcL.exe
3848	VoJakUe.exe
3112	afmvKcm.exe
6068	RSbVNaN.exe
1484	iewOFsH.exe
4696	XPOphHv.exe
3256	UoPcWGc.exe
2268	LMRyFhb.exe
5900	jXSkDZW.exe
3940	KCkkHQF.exe
4684	QEtCcLU.exe
2972	HrbroFr.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\HOJoLOx.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\OFaDtUs.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\PJqNCpW.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\DQIaUQu.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\xzephTJ.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\NiNgwgR.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\IIxFogA.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\elgvzPi.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\WkdNeYa.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\SCelmpX.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\eocbvNd.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\aLFvmyY.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\fazIRMQ.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\JLQZBak.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\DkYgdId.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\OXQiOkp.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\mznsQgt.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\hAIVINU.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\ZhCqImH.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\afmvKcm.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\Xofeuzd.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\kySyWeL.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\CrvfuJG.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\xPVptOx.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\kxYbhaE.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\jpNDXlK.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\MdeUTrq.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\oQBollK.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\zqvgFRA.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\RRITSIv.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\RTpnqYI.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\gQaRBKK.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\mCIDgYW.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\tQkfnmt.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\xIiuheh.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\gtTkWAZ.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\MJkYhOr.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\qJRTxOL.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\KWHfKws.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\BfdNNLK.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\krHrgDe.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\yLYZCEn.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\kBgWtqn.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\tPTTuLv.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\JFaxvRR.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\KtCedLC.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\UZSfTpQ.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\CKSLbUf.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\pVJubHA.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\emLmECg.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\nUhQxvV.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\PnrYxzj.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\KxaAIYu.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\HrbroFr.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\mvCaNBH.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\AKnHsmS.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\MrVZMfb.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\ELGzAiO.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\wOzhzml.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\XIzyRVw.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\QWNnfUD.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\ikbFtUe.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\mrcFrJq.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
File created	C:\Windows\System32\oRHqOpS.exe	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/6120-0-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp	upx
behavioral2/files/0x00050000000229c8-4.dat	upx
behavioral2/files/0x00070000000242f0-9.dat	upx
behavioral2/files/0x00070000000242f1-18.dat	upx
behavioral2/files/0x00070000000242ef-19.dat	upx
behavioral2/files/0x00070000000242f3-31.dat	upx
behavioral2/files/0x00070000000242f4-39.dat	upx
behavioral2/files/0x00070000000242f6-47.dat	upx
behavioral2/files/0x00070000000242f7-54.dat	upx
behavioral2/files/0x00070000000242f8-59.dat	upx
behavioral2/files/0x00070000000242fb-74.dat	upx
behavioral2/files/0x00070000000242fe-87.dat	upx
behavioral2/files/0x0007000000024300-99.dat	upx
behavioral2/files/0x0007000000024303-114.dat	upx
behavioral2/files/0x000700000002430b-154.dat	upx
behavioral2/memory/564-791-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp	upx
behavioral2/files/0x000700000002430d-164.dat	upx
behavioral2/files/0x000700000002430c-159.dat	upx
behavioral2/memory/3348-792-0x00007FF6DAAD0000-0x00007FF6DAEC5000-memory.dmp	upx
behavioral2/files/0x000700000002430a-149.dat	upx
behavioral2/memory/3580-793-0x00007FF655800000-0x00007FF655BF5000-memory.dmp	upx
behavioral2/memory/4116-794-0x00007FF7CC6B0000-0x00007FF7CCAA5000-memory.dmp	upx
behavioral2/files/0x0007000000024309-144.dat	upx
behavioral2/files/0x0007000000024308-139.dat	upx
behavioral2/files/0x0007000000024307-134.dat	upx
behavioral2/files/0x0007000000024306-129.dat	upx
behavioral2/files/0x0007000000024305-124.dat	upx
behavioral2/files/0x0007000000024304-119.dat	upx
behavioral2/files/0x0007000000024302-109.dat	upx
behavioral2/files/0x0007000000024301-104.dat	upx
behavioral2/files/0x00070000000242ff-94.dat	upx
behavioral2/files/0x00070000000242fd-84.dat	upx
behavioral2/files/0x00070000000242fc-79.dat	upx
behavioral2/files/0x00070000000242fa-69.dat	upx
behavioral2/memory/3836-795-0x00007FF727B70000-0x00007FF727F65000-memory.dmp	upx
behavioral2/memory/1476-796-0x00007FF721DF0000-0x00007FF7221E5000-memory.dmp	upx
behavioral2/memory/3328-797-0x00007FF62BDF0000-0x00007FF62C1E5000-memory.dmp	upx
behavioral2/memory/5236-798-0x00007FF7EDF10000-0x00007FF7EE305000-memory.dmp	upx
behavioral2/memory/3264-799-0x00007FF751E10000-0x00007FF752205000-memory.dmp	upx
behavioral2/memory/4496-800-0x00007FF6F7B70000-0x00007FF6F7F65000-memory.dmp	upx
behavioral2/memory/5828-801-0x00007FF694920000-0x00007FF694D15000-memory.dmp	upx
behavioral2/files/0x00070000000242f9-64.dat	upx
behavioral2/files/0x00070000000242f5-44.dat	upx
behavioral2/memory/4576-820-0x00007FF65EE40000-0x00007FF65F235000-memory.dmp	upx
behavioral2/memory/4708-833-0x00007FF7A74A0000-0x00007FF7A7895000-memory.dmp	upx
behavioral2/memory/4748-836-0x00007FF73B240000-0x00007FF73B635000-memory.dmp	upx
behavioral2/memory/4820-840-0x00007FF63ADC0000-0x00007FF63B1B5000-memory.dmp	upx
behavioral2/memory/4612-813-0x00007FF79F8D0000-0x00007FF79FCC5000-memory.dmp	upx
behavioral2/memory/756-809-0x00007FF75FE50000-0x00007FF760245000-memory.dmp	upx
behavioral2/memory/4912-844-0x00007FF6CE220000-0x00007FF6CE615000-memory.dmp	upx
behavioral2/memory/4876-848-0x00007FF721180000-0x00007FF721575000-memory.dmp	upx
behavioral2/memory/5092-957-0x00007FF64AAB0000-0x00007FF64AEA5000-memory.dmp	upx
behavioral2/memory/2808-850-0x00007FF7B7E00000-0x00007FF7B81F5000-memory.dmp	upx
behavioral2/files/0x00070000000242f2-29.dat	upx
behavioral2/memory/1584-24-0x00007FF670630000-0x00007FF670A25000-memory.dmp	upx
behavioral2/memory/1344-17-0x00007FF66C160000-0x00007FF66C555000-memory.dmp	upx
behavioral2/memory/2472-7-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp	upx
behavioral2/memory/6120-1503-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp	upx
behavioral2/memory/2472-1633-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp	upx
behavioral2/memory/1344-1765-0x00007FF66C160000-0x00007FF66C555000-memory.dmp	upx
behavioral2/memory/1584-1848-0x00007FF670630000-0x00007FF670A25000-memory.dmp	upx
behavioral2/memory/564-1849-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp	upx
behavioral2/memory/6120-1850-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp	upx
behavioral2/memory/2472-1851-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp	upx

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\27\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	11312	dwm.exe
Token: SeChangeNotifyPrivilege	11312	dwm.exe
Token: 33	11312	dwm.exe
Token: SeIncBasePriorityPrivilege	11312	dwm.exe
Token: SeShutdownPrivilege	11312	dwm.exe
Token: SeCreatePagefilePrivilege	11312	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 6120 wrote to memory of 2472	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	88
PID 6120 wrote to memory of 2472	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	88
PID 6120 wrote to memory of 1344	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	89
PID 6120 wrote to memory of 1344	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	89
PID 6120 wrote to memory of 1584	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	90
PID 6120 wrote to memory of 1584	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	90
PID 6120 wrote to memory of 564	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	91
PID 6120 wrote to memory of 564	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	91
PID 6120 wrote to memory of 3348	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	92
PID 6120 wrote to memory of 3348	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	92
PID 6120 wrote to memory of 5092	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	93
PID 6120 wrote to memory of 5092	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	93
PID 6120 wrote to memory of 3580	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	94
PID 6120 wrote to memory of 3580	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	94
PID 6120 wrote to memory of 4116	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	95
PID 6120 wrote to memory of 4116	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	95
PID 6120 wrote to memory of 3836	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	96
PID 6120 wrote to memory of 3836	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	96
PID 6120 wrote to memory of 1476	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	97
PID 6120 wrote to memory of 1476	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	97
PID 6120 wrote to memory of 3328	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	98
PID 6120 wrote to memory of 3328	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	98
PID 6120 wrote to memory of 5236	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	99
PID 6120 wrote to memory of 5236	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	99
PID 6120 wrote to memory of 3264	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	100
PID 6120 wrote to memory of 3264	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	100
PID 6120 wrote to memory of 4496	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	101
PID 6120 wrote to memory of 4496	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	101
PID 6120 wrote to memory of 5828	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	102
PID 6120 wrote to memory of 5828	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	102
PID 6120 wrote to memory of 756	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	103
PID 6120 wrote to memory of 756	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	103
PID 6120 wrote to memory of 4612	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	104
PID 6120 wrote to memory of 4612	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	104
PID 6120 wrote to memory of 4576	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	105
PID 6120 wrote to memory of 4576	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	105
PID 6120 wrote to memory of 4708	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	106
PID 6120 wrote to memory of 4708	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	106
PID 6120 wrote to memory of 4748	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	107
PID 6120 wrote to memory of 4748	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	107
PID 6120 wrote to memory of 4820	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	108
PID 6120 wrote to memory of 4820	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	108
PID 6120 wrote to memory of 4912	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	109
PID 6120 wrote to memory of 4912	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	109
PID 6120 wrote to memory of 4876	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	110
PID 6120 wrote to memory of 4876	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	110
PID 6120 wrote to memory of 2808	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	111
PID 6120 wrote to memory of 2808	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	111
PID 6120 wrote to memory of 1544	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	112
PID 6120 wrote to memory of 1544	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	112
PID 6120 wrote to memory of 1448	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	113
PID 6120 wrote to memory of 1448	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	113
PID 6120 wrote to memory of 4800	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	114
PID 6120 wrote to memory of 4800	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	114
PID 6120 wrote to memory of 4856	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	115
PID 6120 wrote to memory of 4856	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	115
PID 6120 wrote to memory of 1148	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	116
PID 6120 wrote to memory of 1148	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	116
PID 6120 wrote to memory of 5020	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	117
PID 6120 wrote to memory of 5020	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	117
PID 6120 wrote to memory of 4920	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	118
PID 6120 wrote to memory of 4920	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	118
PID 6120 wrote to memory of 3088	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	119
PID 6120 wrote to memory of 3088	6120	3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe	119

C:\Users\Admin\AppData\Local\Temp\3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe
"C:\Users\Admin\AppData\Local\Temp\3f09697fc917961408c40722e2e953018c8df29d5f1e4eb1ebd9a51ffc245979.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:6120
- C:\Windows\System32\vEaDVDl.exe
  C:\Windows\System32\vEaDVDl.exe
  2⤵
  - Executes dropped EXE
  PID:2472
- C:\Windows\System32\JLQZBak.exe
  C:\Windows\System32\JLQZBak.exe
  2⤵
  - Executes dropped EXE
  PID:1344
- C:\Windows\System32\BsTVcaf.exe
  C:\Windows\System32\BsTVcaf.exe
  2⤵
  - Executes dropped EXE
  PID:1584
- C:\Windows\System32\fjifKfh.exe
  C:\Windows\System32\fjifKfh.exe
  2⤵
  - Executes dropped EXE
  PID:564
- C:\Windows\System32\EQnnpdp.exe
  C:\Windows\System32\EQnnpdp.exe
  2⤵
  - Executes dropped EXE
  PID:3348
- C:\Windows\System32\tXoArGv.exe
  C:\Windows\System32\tXoArGv.exe
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\System32\xzPAPgM.exe
  C:\Windows\System32\xzPAPgM.exe
  2⤵
  - Executes dropped EXE
  PID:3580
- C:\Windows\System32\WIGpVTx.exe
  C:\Windows\System32\WIGpVTx.exe
  2⤵
  - Executes dropped EXE
  PID:4116
- C:\Windows\System32\DVRDKtK.exe
  C:\Windows\System32\DVRDKtK.exe
  2⤵
  - Executes dropped EXE
  PID:3836
- C:\Windows\System32\buSWGJn.exe
  C:\Windows\System32\buSWGJn.exe
  2⤵
  - Executes dropped EXE
  PID:1476
- C:\Windows\System32\NfeywKp.exe
  C:\Windows\System32\NfeywKp.exe
  2⤵
  - Executes dropped EXE
  PID:3328
- C:\Windows\System32\RzwcIZP.exe
  C:\Windows\System32\RzwcIZP.exe
  2⤵
  - Executes dropped EXE
  PID:5236
- C:\Windows\System32\lWpqaRX.exe
  C:\Windows\System32\lWpqaRX.exe
  2⤵
  - Executes dropped EXE
  PID:3264
- C:\Windows\System32\MzItquG.exe
  C:\Windows\System32\MzItquG.exe
  2⤵
  - Executes dropped EXE
  PID:4496
- C:\Windows\System32\BJZdxXR.exe
  C:\Windows\System32\BJZdxXR.exe
  2⤵
  - Executes dropped EXE
  PID:5828
- C:\Windows\System32\NiNgwgR.exe
  C:\Windows\System32\NiNgwgR.exe
  2⤵
  - Executes dropped EXE
  PID:756
- C:\Windows\System32\XIzyRVw.exe
  C:\Windows\System32\XIzyRVw.exe
  2⤵
  - Executes dropped EXE
  PID:4612
- C:\Windows\System32\MdeUTrq.exe
  C:\Windows\System32\MdeUTrq.exe
  2⤵
  - Executes dropped EXE
  PID:4576
- C:\Windows\System32\GSwLsWA.exe
  C:\Windows\System32\GSwLsWA.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\vEccKwW.exe
  C:\Windows\System32\vEccKwW.exe
  2⤵
  - Executes dropped EXE
  PID:4748
- C:\Windows\System32\WsXIyGh.exe
  C:\Windows\System32\WsXIyGh.exe
  2⤵
  - Executes dropped EXE
  PID:4820
- C:\Windows\System32\krHrgDe.exe
  C:\Windows\System32\krHrgDe.exe
  2⤵
  - Executes dropped EXE
  PID:4912
- C:\Windows\System32\pfJplcH.exe
  C:\Windows\System32\pfJplcH.exe
  2⤵
  - Executes dropped EXE
  PID:4876
- C:\Windows\System32\lreIEVj.exe
  C:\Windows\System32\lreIEVj.exe
  2⤵
  - Executes dropped EXE
  PID:2808
- C:\Windows\System32\lqFBxeC.exe
  C:\Windows\System32\lqFBxeC.exe
  2⤵
  - Executes dropped EXE
  PID:1544
- C:\Windows\System32\NWRPGPk.exe
  C:\Windows\System32\NWRPGPk.exe
  2⤵
  - Executes dropped EXE
  PID:1448
- C:\Windows\System32\ciYGKzn.exe
  C:\Windows\System32\ciYGKzn.exe
  2⤵
  - Executes dropped EXE
  PID:4800
- C:\Windows\System32\wiQuvoc.exe
  C:\Windows\System32\wiQuvoc.exe
  2⤵
  - Executes dropped EXE
  PID:4856
- C:\Windows\System32\IIxFogA.exe
  C:\Windows\System32\IIxFogA.exe
  2⤵
  - Executes dropped EXE
  PID:1148
- C:\Windows\System32\UJGKoDB.exe
  C:\Windows\System32\UJGKoDB.exe
  2⤵
  - Executes dropped EXE
  PID:5020
- C:\Windows\System32\DLcTNej.exe
  C:\Windows\System32\DLcTNej.exe
  2⤵
  - Executes dropped EXE
  PID:4920
- C:\Windows\System32\NXmpmbo.exe
  C:\Windows\System32\NXmpmbo.exe
  2⤵
  - Executes dropped EXE
  PID:3088
- C:\Windows\System32\JGsbbpp.exe
  C:\Windows\System32\JGsbbpp.exe
  2⤵
  - Executes dropped EXE
  PID:1236
- C:\Windows\System32\pxPhyMw.exe
  C:\Windows\System32\pxPhyMw.exe
  2⤵
  - Executes dropped EXE
  PID:5148
- C:\Windows\System32\waeDfyF.exe
  C:\Windows\System32\waeDfyF.exe
  2⤵
  - Executes dropped EXE
  PID:3268
- C:\Windows\System32\HyiunzY.exe
  C:\Windows\System32\HyiunzY.exe
  2⤵
  - Executes dropped EXE
  PID:3792
- C:\Windows\System32\qXgODkk.exe
  C:\Windows\System32\qXgODkk.exe
  2⤵
  - Executes dropped EXE
  PID:3944
- C:\Windows\System32\YTWCJep.exe
  C:\Windows\System32\YTWCJep.exe
  2⤵
  - Executes dropped EXE
  PID:888
- C:\Windows\System32\BJxKrKF.exe
  C:\Windows\System32\BJxKrKF.exe
  2⤵
  - Executes dropped EXE
  PID:5428
- C:\Windows\System32\sCQEPdK.exe
  C:\Windows\System32\sCQEPdK.exe
  2⤵
  - Executes dropped EXE
  PID:4452
- C:\Windows\System32\RBUSzIJ.exe
  C:\Windows\System32\RBUSzIJ.exe
  2⤵
  - Executes dropped EXE
  PID:652
- C:\Windows\System32\GcIgmjJ.exe
  C:\Windows\System32\GcIgmjJ.exe
  2⤵
  - Executes dropped EXE
  PID:2408
- C:\Windows\System32\WNeApWB.exe
  C:\Windows\System32\WNeApWB.exe
  2⤵
  - Executes dropped EXE
  PID:2244
- C:\Windows\System32\ZhCqImH.exe
  C:\Windows\System32\ZhCqImH.exe
  2⤵
  - Executes dropped EXE
  PID:2332
- C:\Windows\System32\elgvzPi.exe
  C:\Windows\System32\elgvzPi.exe
  2⤵
  - Executes dropped EXE
  PID:1496
- C:\Windows\System32\xxcOUxd.exe
  C:\Windows\System32\xxcOUxd.exe
  2⤵
  - Executes dropped EXE
  PID:1768
- C:\Windows\System32\AcazBbY.exe
  C:\Windows\System32\AcazBbY.exe
  2⤵
  - Executes dropped EXE
  PID:5264
- C:\Windows\System32\yqKEaSR.exe
  C:\Windows\System32\yqKEaSR.exe
  2⤵
  - Executes dropped EXE
  PID:5964
- C:\Windows\System32\bTJXhkG.exe
  C:\Windows\System32\bTJXhkG.exe
  2⤵
  - Executes dropped EXE
  PID:1464
- C:\Windows\System32\PzDRvdv.exe
  C:\Windows\System32\PzDRvdv.exe
  2⤵
  - Executes dropped EXE
  PID:5160
- C:\Windows\System32\MyDMibH.exe
  C:\Windows\System32\MyDMibH.exe
  2⤵
  - Executes dropped EXE
  PID:5604
- C:\Windows\System32\SFMFfLM.exe
  C:\Windows\System32\SFMFfLM.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\LbETAcL.exe
  C:\Windows\System32\LbETAcL.exe
  2⤵
  - Executes dropped EXE
  PID:2968
- C:\Windows\System32\VoJakUe.exe
  C:\Windows\System32\VoJakUe.exe
  2⤵
  - Executes dropped EXE
  PID:3848
- C:\Windows\System32\afmvKcm.exe
  C:\Windows\System32\afmvKcm.exe
  2⤵
  - Executes dropped EXE
  PID:3112
- C:\Windows\System32\RSbVNaN.exe
  C:\Windows\System32\RSbVNaN.exe
  2⤵
  - Executes dropped EXE
  PID:6068
- C:\Windows\System32\iewOFsH.exe
  C:\Windows\System32\iewOFsH.exe
  2⤵
  - Executes dropped EXE
  PID:1484
- C:\Windows\System32\XPOphHv.exe
  C:\Windows\System32\XPOphHv.exe
  2⤵
  - Executes dropped EXE
  PID:4696
- C:\Windows\System32\UoPcWGc.exe
  C:\Windows\System32\UoPcWGc.exe
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Windows\System32\LMRyFhb.exe
  C:\Windows\System32\LMRyFhb.exe
  2⤵
  - Executes dropped EXE
  PID:2268
- C:\Windows\System32\jXSkDZW.exe
  C:\Windows\System32\jXSkDZW.exe
  2⤵
  - Executes dropped EXE
  PID:5900
- C:\Windows\System32\KCkkHQF.exe
  C:\Windows\System32\KCkkHQF.exe
  2⤵
  - Executes dropped EXE
  PID:3940
- C:\Windows\System32\QEtCcLU.exe
  C:\Windows\System32\QEtCcLU.exe
  2⤵
  - Executes dropped EXE
  PID:4684
- C:\Windows\System32\HrbroFr.exe
  C:\Windows\System32\HrbroFr.exe
  2⤵
  - Executes dropped EXE
  PID:2972
- C:\Windows\System32\IgLtfmt.exe
  C:\Windows\System32\IgLtfmt.exe
  2⤵
  PID:5852
- C:\Windows\System32\HwWJBPv.exe
  C:\Windows\System32\HwWJBPv.exe
  2⤵
  PID:3384
- C:\Windows\System32\JeztTSt.exe
  C:\Windows\System32\JeztTSt.exe
  2⤵
  PID:5104
- C:\Windows\System32\tFiTGSI.exe
  C:\Windows\System32\tFiTGSI.exe
  2⤵
  PID:3776
- C:\Windows\System32\gURsiyx.exe
  C:\Windows\System32\gURsiyx.exe
  2⤵
  PID:4528
- C:\Windows\System32\xHkzlUg.exe
  C:\Windows\System32\xHkzlUg.exe
  2⤵
  PID:920
- C:\Windows\System32\aWTgUaP.exe
  C:\Windows\System32\aWTgUaP.exe
  2⤵
  PID:792
- C:\Windows\System32\WFSZiYn.exe
  C:\Windows\System32\WFSZiYn.exe
  2⤵
  PID:5556
- C:\Windows\System32\eOMQeOm.exe
  C:\Windows\System32\eOMQeOm.exe
  2⤵
  PID:3196
- C:\Windows\System32\zFxzpLV.exe
  C:\Windows\System32\zFxzpLV.exe
  2⤵
  PID:5352
- C:\Windows\System32\AybKnGO.exe
  C:\Windows\System32\AybKnGO.exe
  2⤵
  PID:5256
- C:\Windows\System32\OmDMARL.exe
  C:\Windows\System32\OmDMARL.exe
  2⤵
  PID:1472
- C:\Windows\System32\sycZWVu.exe
  C:\Windows\System32\sycZWVu.exe
  2⤵
  PID:3504
- C:\Windows\System32\RhNiFlG.exe
  C:\Windows\System32\RhNiFlG.exe
  2⤵
  PID:3824
- C:\Windows\System32\WkdNeYa.exe
  C:\Windows\System32\WkdNeYa.exe
  2⤵
  PID:2072
- C:\Windows\System32\aOIejrB.exe
  C:\Windows\System32\aOIejrB.exe
  2⤵
  PID:5060
- C:\Windows\System32\DghzGEe.exe
  C:\Windows\System32\DghzGEe.exe
  2⤵
  PID:4392
- C:\Windows\System32\NVXhzVs.exe
  C:\Windows\System32\NVXhzVs.exe
  2⤵
  PID:3672
- C:\Windows\System32\yWUnAru.exe
  C:\Windows\System32\yWUnAru.exe
  2⤵
  PID:372
- C:\Windows\System32\ttbeHRR.exe
  C:\Windows\System32\ttbeHRR.exe
  2⤵
  PID:3956
- C:\Windows\System32\cCvdSEr.exe
  C:\Windows\System32\cCvdSEr.exe
  2⤵
  PID:4364
- C:\Windows\System32\uMFQANl.exe
  C:\Windows\System32\uMFQANl.exe
  2⤵
  PID:5156
- C:\Windows\System32\JkEAdvS.exe
  C:\Windows\System32\JkEAdvS.exe
  2⤵
  PID:5736
- C:\Windows\System32\fHcaBgk.exe
  C:\Windows\System32\fHcaBgk.exe
  2⤵
  PID:5648
- C:\Windows\System32\UVGxlfp.exe
  C:\Windows\System32\UVGxlfp.exe
  2⤵
  PID:764
- C:\Windows\System32\WlbqFjy.exe
  C:\Windows\System32\WlbqFjy.exe
  2⤵
  PID:4692
- C:\Windows\System32\ntxkByf.exe
  C:\Windows\System32\ntxkByf.exe
  2⤵
  PID:5968
- C:\Windows\System32\UXBZWpT.exe
  C:\Windows\System32\UXBZWpT.exe
  2⤵
  PID:312
- C:\Windows\System32\mXrerVJ.exe
  C:\Windows\System32\mXrerVJ.exe
  2⤵
  PID:4836
- C:\Windows\System32\oFajHGp.exe
  C:\Windows\System32\oFajHGp.exe
  2⤵
  PID:3000
- C:\Windows\System32\CEWXxXO.exe
  C:\Windows\System32\CEWXxXO.exe
  2⤵
  PID:1528
- C:\Windows\System32\hMLkXDG.exe
  C:\Windows\System32\hMLkXDG.exe
  2⤵
  PID:5088
- C:\Windows\System32\BNOVpFn.exe
  C:\Windows\System32\BNOVpFn.exe
  2⤵
  PID:4984
- C:\Windows\System32\PSnWkeL.exe
  C:\Windows\System32\PSnWkeL.exe
  2⤵
  PID:1836
- C:\Windows\System32\PolkmUO.exe
  C:\Windows\System32\PolkmUO.exe
  2⤵
  PID:5672
- C:\Windows\System32\wgbXLUJ.exe
  C:\Windows\System32\wgbXLUJ.exe
  2⤵
  PID:4784
- C:\Windows\System32\sxvpzwG.exe
  C:\Windows\System32\sxvpzwG.exe
  2⤵
  PID:384
- C:\Windows\System32\jTDtfBZ.exe
  C:\Windows\System32\jTDtfBZ.exe
  2⤵
  PID:5768
- C:\Windows\System32\qmBfCbd.exe
  C:\Windows\System32\qmBfCbd.exe
  2⤵
  PID:3304
- C:\Windows\System32\AbiNJnA.exe
  C:\Windows\System32\AbiNJnA.exe
  2⤵
  PID:4296
- C:\Windows\System32\Skuxkwa.exe
  C:\Windows\System32\Skuxkwa.exe
  2⤵
  PID:2920
- C:\Windows\System32\odPjgQn.exe
  C:\Windows\System32\odPjgQn.exe
  2⤵
  PID:4980
- C:\Windows\System32\vbgjGmD.exe
  C:\Windows\System32\vbgjGmD.exe
  2⤵
  PID:3192
- C:\Windows\System32\nSQvJeD.exe
  C:\Windows\System32\nSQvJeD.exe
  2⤵
  PID:5052
- C:\Windows\System32\cxqssYw.exe
  C:\Windows\System32\cxqssYw.exe
  2⤵
  PID:3916
- C:\Windows\System32\nEkJRDV.exe
  C:\Windows\System32\nEkJRDV.exe
  2⤵
  PID:1868
- C:\Windows\System32\rLPQmVE.exe
  C:\Windows\System32\rLPQmVE.exe
  2⤵
  PID:1404
- C:\Windows\System32\BoJmrdj.exe
  C:\Windows\System32\BoJmrdj.exe
  2⤵
  PID:5372
- C:\Windows\System32\qPNnKvu.exe
  C:\Windows\System32\qPNnKvu.exe
  2⤵
  PID:3560
- C:\Windows\System32\AQqooxw.exe
  C:\Windows\System32\AQqooxw.exe
  2⤵
  PID:5572
- C:\Windows\System32\YWNUPRh.exe
  C:\Windows\System32\YWNUPRh.exe
  2⤵
  PID:4916
- C:\Windows\System32\zyxqsEh.exe
  C:\Windows\System32\zyxqsEh.exe
  2⤵
  PID:2224
- C:\Windows\System32\Tksbfxq.exe
  C:\Windows\System32\Tksbfxq.exe
  2⤵
  PID:3784
- C:\Windows\System32\SdQjwPo.exe
  C:\Windows\System32\SdQjwPo.exe
  2⤵
  PID:4904
- C:\Windows\System32\WGMZkRh.exe
  C:\Windows\System32\WGMZkRh.exe
  2⤵
  PID:5876
- C:\Windows\System32\XqroiTi.exe
  C:\Windows\System32\XqroiTi.exe
  2⤵
  PID:5312
- C:\Windows\System32\yLYZCEn.exe
  C:\Windows\System32\yLYZCEn.exe
  2⤵
  PID:4128
- C:\Windows\System32\tQkfnmt.exe
  C:\Windows\System32\tQkfnmt.exe
  2⤵
  PID:4628
- C:\Windows\System32\VqAmEVW.exe
  C:\Windows\System32\VqAmEVW.exe
  2⤵
  PID:4468
- C:\Windows\System32\QLaEyQu.exe
  C:\Windows\System32\QLaEyQu.exe
  2⤵
  PID:2780
- C:\Windows\System32\gLSiMYb.exe
  C:\Windows\System32\gLSiMYb.exe
  2⤵
  PID:4996
- C:\Windows\System32\OSbfAeh.exe
  C:\Windows\System32\OSbfAeh.exe
  2⤵
  PID:3444
- C:\Windows\System32\xvkWMtO.exe
  C:\Windows\System32\xvkWMtO.exe
  2⤵
  PID:1080
- C:\Windows\System32\cjjJcEe.exe
  C:\Windows\System32\cjjJcEe.exe
  2⤵
  PID:5244
- C:\Windows\System32\sKHjUHy.exe
  C:\Windows\System32\sKHjUHy.exe
  2⤵
  PID:5316
- C:\Windows\System32\pXlMkmJ.exe
  C:\Windows\System32\pXlMkmJ.exe
  2⤵
  PID:3936
- C:\Windows\System32\QlcLTuQ.exe
  C:\Windows\System32\QlcLTuQ.exe
  2⤵
  PID:884
- C:\Windows\System32\AuUAGfP.exe
  C:\Windows\System32\AuUAGfP.exe
  2⤵
  PID:3232
- C:\Windows\System32\IFNedyj.exe
  C:\Windows\System32\IFNedyj.exe
  2⤵
  PID:2420
- C:\Windows\System32\iHbOKYO.exe
  C:\Windows\System32\iHbOKYO.exe
  2⤵
  PID:5340
- C:\Windows\System32\kFODQWn.exe
  C:\Windows\System32\kFODQWn.exe
  2⤵
  PID:1572
- C:\Windows\System32\dSSQoUk.exe
  C:\Windows\System32\dSSQoUk.exe
  2⤵
  PID:4828
- C:\Windows\System32\ofJVeQn.exe
  C:\Windows\System32\ofJVeQn.exe
  2⤵
  PID:5356
- C:\Windows\System32\Xofeuzd.exe
  C:\Windows\System32\Xofeuzd.exe
  2⤵
  PID:732
- C:\Windows\System32\HOJoLOx.exe
  C:\Windows\System32\HOJoLOx.exe
  2⤵
  PID:6172
- C:\Windows\System32\FdNnbbf.exe
  C:\Windows\System32\FdNnbbf.exe
  2⤵
  PID:6200
- C:\Windows\System32\Lzgbwgb.exe
  C:\Windows\System32\Lzgbwgb.exe
  2⤵
  PID:6228
- C:\Windows\System32\blobDhn.exe
  C:\Windows\System32\blobDhn.exe
  2⤵
  PID:6256
- C:\Windows\System32\QnASifA.exe
  C:\Windows\System32\QnASifA.exe
  2⤵
  PID:6296
- C:\Windows\System32\rOIjDdo.exe
  C:\Windows\System32\rOIjDdo.exe
  2⤵
  PID:6324
- C:\Windows\System32\hPfwuPh.exe
  C:\Windows\System32\hPfwuPh.exe
  2⤵
  PID:6340
- C:\Windows\System32\qnQxJvE.exe
  C:\Windows\System32\qnQxJvE.exe
  2⤵
  PID:6368
- C:\Windows\System32\KSlEKGj.exe
  C:\Windows\System32\KSlEKGj.exe
  2⤵
  PID:6396
- C:\Windows\System32\NkxHAIg.exe
  C:\Windows\System32\NkxHAIg.exe
  2⤵
  PID:6436
- C:\Windows\System32\ehoYXcT.exe
  C:\Windows\System32\ehoYXcT.exe
  2⤵
  PID:6456
- C:\Windows\System32\SoFakkx.exe
  C:\Windows\System32\SoFakkx.exe
  2⤵
  PID:6484
- C:\Windows\System32\iYywCaF.exe
  C:\Windows\System32\iYywCaF.exe
  2⤵
  PID:6512
- C:\Windows\System32\ZsraTao.exe
  C:\Windows\System32\ZsraTao.exe
  2⤵
  PID:6552
- C:\Windows\System32\xIiuheh.exe
  C:\Windows\System32\xIiuheh.exe
  2⤵
  PID:6568
- C:\Windows\System32\ChFkPeN.exe
  C:\Windows\System32\ChFkPeN.exe
  2⤵
  PID:6596
- C:\Windows\System32\SCelmpX.exe
  C:\Windows\System32\SCelmpX.exe
  2⤵
  PID:6624
- C:\Windows\System32\DAxlFnz.exe
  C:\Windows\System32\DAxlFnz.exe
  2⤵
  PID:6652
- C:\Windows\System32\zPIJtKF.exe
  C:\Windows\System32\zPIJtKF.exe
  2⤵
  PID:6680
- C:\Windows\System32\lXgkBHJ.exe
  C:\Windows\System32\lXgkBHJ.exe
  2⤵
  PID:6708
- C:\Windows\System32\mvCaNBH.exe
  C:\Windows\System32\mvCaNBH.exe
  2⤵
  PID:6736
- C:\Windows\System32\UrgZOCf.exe
  C:\Windows\System32\UrgZOCf.exe
  2⤵
  PID:6776
- C:\Windows\System32\gHbzGGS.exe
  C:\Windows\System32\gHbzGGS.exe
  2⤵
  PID:6792
- C:\Windows\System32\pVJubHA.exe
  C:\Windows\System32\pVJubHA.exe
  2⤵
  PID:6820
- C:\Windows\System32\eocbvNd.exe
  C:\Windows\System32\eocbvNd.exe
  2⤵
  PID:6848
- C:\Windows\System32\SUejDdy.exe
  C:\Windows\System32\SUejDdy.exe
  2⤵
  PID:6876
- C:\Windows\System32\xZWHVDC.exe
  C:\Windows\System32\xZWHVDC.exe
  2⤵
  PID:6904
- C:\Windows\System32\TSYAkJN.exe
  C:\Windows\System32\TSYAkJN.exe
  2⤵
  PID:6932
- C:\Windows\System32\NqPoMdO.exe
  C:\Windows\System32\NqPoMdO.exe
  2⤵
  PID:6960
- C:\Windows\System32\HSRRspl.exe
  C:\Windows\System32\HSRRspl.exe
  2⤵
  PID:6988
- C:\Windows\System32\EmuoOkL.exe
  C:\Windows\System32\EmuoOkL.exe
  2⤵
  PID:7016
- C:\Windows\System32\unitoot.exe
  C:\Windows\System32\unitoot.exe
  2⤵
  PID:7044
- C:\Windows\System32\zqvgFRA.exe
  C:\Windows\System32\zqvgFRA.exe
  2⤵
  PID:7072
- C:\Windows\System32\nnxQWWj.exe
  C:\Windows\System32\nnxQWWj.exe
  2⤵
  PID:7100
- C:\Windows\System32\XzQKyNE.exe
  C:\Windows\System32\XzQKyNE.exe
  2⤵
  PID:7140
- C:\Windows\System32\eHnAtmm.exe
  C:\Windows\System32\eHnAtmm.exe
  2⤵
  PID:7156
- C:\Windows\System32\ghrEOpE.exe
  C:\Windows\System32\ghrEOpE.exe
  2⤵
  PID:5268
- C:\Windows\System32\UnJBvfT.exe
  C:\Windows\System32\UnJBvfT.exe
  2⤵
  PID:3740
- C:\Windows\System32\bBHQWEs.exe
  C:\Windows\System32\bBHQWEs.exe
  2⤵
  PID:4028
- C:\Windows\System32\wWiprYk.exe
  C:\Windows\System32\wWiprYk.exe
  2⤵
  PID:5004
- C:\Windows\System32\srBLVqI.exe
  C:\Windows\System32\srBLVqI.exe
  2⤵
  PID:6084
- C:\Windows\System32\CFswUfa.exe
  C:\Windows\System32\CFswUfa.exe
  2⤵
  PID:6180
- C:\Windows\System32\POBubFH.exe
  C:\Windows\System32\POBubFH.exe
  2⤵
  PID:6240
- C:\Windows\System32\ptWVAma.exe
  C:\Windows\System32\ptWVAma.exe
  2⤵
  PID:6316
- C:\Windows\System32\IspmubU.exe
  C:\Windows\System32\IspmubU.exe
  2⤵
  PID:6380
- C:\Windows\System32\dYodduR.exe
  C:\Windows\System32\dYodduR.exe
  2⤵
  PID:6452
- C:\Windows\System32\gfwhgNr.exe
  C:\Windows\System32\gfwhgNr.exe
  2⤵
  PID:6532
- C:\Windows\System32\fvGIclG.exe
  C:\Windows\System32\fvGIclG.exe
  2⤵
  PID:6580
- C:\Windows\System32\lNeBDTK.exe
  C:\Windows\System32\lNeBDTK.exe
  2⤵
  PID:6632
- C:\Windows\System32\HpxpnVC.exe
  C:\Windows\System32\HpxpnVC.exe
  2⤵
  PID:6716
- C:\Windows\System32\yoeyefa.exe
  C:\Windows\System32\yoeyefa.exe
  2⤵
  PID:6768
- C:\Windows\System32\dCFOElN.exe
  C:\Windows\System32\dCFOElN.exe
  2⤵
  PID:6828
- C:\Windows\System32\QatBvkg.exe
  C:\Windows\System32\QatBvkg.exe
  2⤵
  PID:6896
- C:\Windows\System32\sdwBZvk.exe
  C:\Windows\System32\sdwBZvk.exe
  2⤵
  PID:6980
- C:\Windows\System32\hXtwtAg.exe
  C:\Windows\System32\hXtwtAg.exe
  2⤵
  PID:7028
- C:\Windows\System32\rKpIspC.exe
  C:\Windows\System32\rKpIspC.exe
  2⤵
  PID:7084
- C:\Windows\System32\KhhHRZP.exe
  C:\Windows\System32\KhhHRZP.exe
  2⤵
  PID:7152
- C:\Windows\System32\RGZFxlS.exe
  C:\Windows\System32\RGZFxlS.exe
  2⤵
  PID:5400
- C:\Windows\System32\njlPNdZ.exe
  C:\Windows\System32\njlPNdZ.exe
  2⤵
  PID:5848
- C:\Windows\System32\xalIrNF.exe
  C:\Windows\System32\xalIrNF.exe
  2⤵
  PID:6308
- C:\Windows\System32\XyUvICY.exe
  C:\Windows\System32\XyUvICY.exe
  2⤵
  PID:6360
- C:\Windows\System32\YVDENgs.exe
  C:\Windows\System32\YVDENgs.exe
  2⤵
  PID:6464
- C:\Windows\System32\bGJuZDc.exe
  C:\Windows\System32\bGJuZDc.exe
  2⤵
  PID:6644
- C:\Windows\System32\TFvvRHA.exe
  C:\Windows\System32\TFvvRHA.exe
  2⤵
  PID:6748
- C:\Windows\System32\dzgYZBD.exe
  C:\Windows\System32\dzgYZBD.exe
  2⤵
  PID:6944
- C:\Windows\System32\aLFvmyY.exe
  C:\Windows\System32\aLFvmyY.exe
  2⤵
  PID:7064
- C:\Windows\System32\RpwefyT.exe
  C:\Windows\System32\RpwefyT.exe
  2⤵
  PID:3024
- C:\Windows\System32\jtaMyyM.exe
  C:\Windows\System32\jtaMyyM.exe
  2⤵
  PID:7192
- C:\Windows\System32\DVdTznj.exe
  C:\Windows\System32\DVdTznj.exe
  2⤵
  PID:7220
- C:\Windows\System32\oIAlReR.exe
  C:\Windows\System32\oIAlReR.exe
  2⤵
  PID:7248
- C:\Windows\System32\gtTkWAZ.exe
  C:\Windows\System32\gtTkWAZ.exe
  2⤵
  PID:7276
- C:\Windows\System32\OFaDtUs.exe
  C:\Windows\System32\OFaDtUs.exe
  2⤵
  PID:7304
- C:\Windows\System32\ScXUJgK.exe
  C:\Windows\System32\ScXUJgK.exe
  2⤵
  PID:7332
- C:\Windows\System32\uTONYjI.exe
  C:\Windows\System32\uTONYjI.exe
  2⤵
  PID:7360
- C:\Windows\System32\XeJteoC.exe
  C:\Windows\System32\XeJteoC.exe
  2⤵
  PID:7388
- C:\Windows\System32\zbZQoAm.exe
  C:\Windows\System32\zbZQoAm.exe
  2⤵
  PID:7428
- C:\Windows\System32\xAiXabF.exe
  C:\Windows\System32\xAiXabF.exe
  2⤵
  PID:7444
- C:\Windows\System32\jaqMiPj.exe
  C:\Windows\System32\jaqMiPj.exe
  2⤵
  PID:7472
- C:\Windows\System32\HFZMUdB.exe
  C:\Windows\System32\HFZMUdB.exe
  2⤵
  PID:7500
- C:\Windows\System32\luXXeEM.exe
  C:\Windows\System32\luXXeEM.exe
  2⤵
  PID:7540
- C:\Windows\System32\szYwQeI.exe
  C:\Windows\System32\szYwQeI.exe
  2⤵
  PID:7556
- C:\Windows\System32\XLsAgej.exe
  C:\Windows\System32\XLsAgej.exe
  2⤵
  PID:7580
- C:\Windows\System32\UNTiTmn.exe
  C:\Windows\System32\UNTiTmn.exe
  2⤵
  PID:7612
- C:\Windows\System32\tJVNrUN.exe
  C:\Windows\System32\tJVNrUN.exe
  2⤵
  PID:7640
- C:\Windows\System32\cGdSIgP.exe
  C:\Windows\System32\cGdSIgP.exe
  2⤵
  PID:7668
- C:\Windows\System32\KjZUyoO.exe
  C:\Windows\System32\KjZUyoO.exe
  2⤵
  PID:7696
- C:\Windows\System32\fAXsKBa.exe
  C:\Windows\System32\fAXsKBa.exe
  2⤵
  PID:7724
- C:\Windows\System32\WZXTscw.exe
  C:\Windows\System32\WZXTscw.exe
  2⤵
  PID:7752
- C:\Windows\System32\BNsUmZv.exe
  C:\Windows\System32\BNsUmZv.exe
  2⤵
  PID:7780
- C:\Windows\System32\OgUEqfo.exe
  C:\Windows\System32\OgUEqfo.exe
  2⤵
  PID:7808
- C:\Windows\System32\emLmECg.exe
  C:\Windows\System32\emLmECg.exe
  2⤵
  PID:7836
- C:\Windows\System32\VhSTYPu.exe
  C:\Windows\System32\VhSTYPu.exe
  2⤵
  PID:7864
- C:\Windows\System32\elkqmML.exe
  C:\Windows\System32\elkqmML.exe
  2⤵
  PID:7892
- C:\Windows\System32\uJwuJlI.exe
  C:\Windows\System32\uJwuJlI.exe
  2⤵
  PID:7924
- C:\Windows\System32\kXtfbiU.exe
  C:\Windows\System32\kXtfbiU.exe
  2⤵
  PID:7948
- C:\Windows\System32\XqWFlPF.exe
  C:\Windows\System32\XqWFlPF.exe
  2⤵
  PID:7984
- C:\Windows\System32\QVOAKUn.exe
  C:\Windows\System32\QVOAKUn.exe
  2⤵
  PID:8004
- C:\Windows\System32\UGUCnfF.exe
  C:\Windows\System32\UGUCnfF.exe
  2⤵
  PID:8032
- C:\Windows\System32\hhenvFv.exe
  C:\Windows\System32\hhenvFv.exe
  2⤵
  PID:8060
- C:\Windows\System32\HkUTJKA.exe
  C:\Windows\System32\HkUTJKA.exe
  2⤵
  PID:8088
- C:\Windows\System32\yORxydt.exe
  C:\Windows\System32\yORxydt.exe
  2⤵
  PID:8116
- C:\Windows\System32\DkubnYC.exe
  C:\Windows\System32\DkubnYC.exe
  2⤵
  PID:8144
- C:\Windows\System32\ZvgZKFR.exe
  C:\Windows\System32\ZvgZKFR.exe
  2⤵
  PID:8172
- C:\Windows\System32\wtuILuX.exe
  C:\Windows\System32\wtuILuX.exe
  2⤵
  PID:3200
- C:\Windows\System32\MJkYhOr.exe
  C:\Windows\System32\MJkYhOr.exe
  2⤵
  PID:7172
- C:\Windows\System32\mcGucLs.exe
  C:\Windows\System32\mcGucLs.exe
  2⤵
  PID:7260
- C:\Windows\System32\yJTGEZs.exe
  C:\Windows\System32\yJTGEZs.exe
  2⤵
  PID:7316
- C:\Windows\System32\dsWLAbR.exe
  C:\Windows\System32\dsWLAbR.exe
  2⤵
  PID:5696
- C:\Windows\System32\kdZIojt.exe
  C:\Windows\System32\kdZIojt.exe
  2⤵
  PID:7408
- C:\Windows\System32\zbFgdhr.exe
  C:\Windows\System32\zbFgdhr.exe
  2⤵
  PID:7440
- C:\Windows\System32\fiJYILw.exe
  C:\Windows\System32\fiJYILw.exe
  2⤵
  PID:7456
- C:\Windows\System32\wOlSKLy.exe
  C:\Windows\System32\wOlSKLy.exe
  2⤵
  PID:7520
- C:\Windows\System32\GZYPkMp.exe
  C:\Windows\System32\GZYPkMp.exe
  2⤵
  PID:7632
- C:\Windows\System32\AKnHsmS.exe
  C:\Windows\System32\AKnHsmS.exe
  2⤵
  PID:7688
- C:\Windows\System32\fazIRMQ.exe
  C:\Windows\System32\fazIRMQ.exe
  2⤵
  PID:7744
- C:\Windows\System32\hadlDNq.exe
  C:\Windows\System32\hadlDNq.exe
  2⤵
  PID:7792
- C:\Windows\System32\tJCVWfv.exe
  C:\Windows\System32\tJCVWfv.exe
  2⤵
  PID:3856
- C:\Windows\System32\lneXsMx.exe
  C:\Windows\System32\lneXsMx.exe
  2⤵
  PID:7940
- C:\Windows\System32\ncaeiTm.exe
  C:\Windows\System32\ncaeiTm.exe
  2⤵
  PID:7968
- C:\Windows\System32\ACdjynt.exe
  C:\Windows\System32\ACdjynt.exe
  2⤵
  PID:8024
- C:\Windows\System32\lnDqxmo.exe
  C:\Windows\System32\lnDqxmo.exe
  2⤵
  PID:1736
- C:\Windows\System32\cudewoX.exe
  C:\Windows\System32\cudewoX.exe
  2⤵
  PID:8072
- C:\Windows\System32\iqRWATZ.exe
  C:\Windows\System32\iqRWATZ.exe
  2⤵
  PID:5196
- C:\Windows\System32\mnFLQPE.exe
  C:\Windows\System32\mnFLQPE.exe
  2⤵
  PID:624
- C:\Windows\System32\JbQCIAu.exe
  C:\Windows\System32\JbQCIAu.exe
  2⤵
  PID:8152
- C:\Windows\System32\DZZbGKb.exe
  C:\Windows\System32\DZZbGKb.exe
  2⤵
  PID:1032
- C:\Windows\System32\PJznkwe.exe
  C:\Windows\System32\PJznkwe.exe
  2⤵
  PID:4184
- C:\Windows\System32\WfvqNRZ.exe
  C:\Windows\System32\WfvqNRZ.exe
  2⤵
  PID:3744
- C:\Windows\System32\nhEKgfk.exe
  C:\Windows\System32\nhEKgfk.exe
  2⤵
  PID:1536
- C:\Windows\System32\cITmZCO.exe
  C:\Windows\System32\cITmZCO.exe
  2⤵
  PID:836
- C:\Windows\System32\WgRckMa.exe
  C:\Windows\System32\WgRckMa.exe
  2⤵
  PID:2124
- C:\Windows\System32\ZQTFzRa.exe
  C:\Windows\System32\ZQTFzRa.exe
  2⤵
  PID:5384
- C:\Windows\System32\MKxsSsO.exe
  C:\Windows\System32\MKxsSsO.exe
  2⤵
  PID:4864
- C:\Windows\System32\kPlOdDt.exe
  C:\Windows\System32\kPlOdDt.exe
  2⤵
  PID:7204
- C:\Windows\System32\VXFBJrh.exe
  C:\Windows\System32\VXFBJrh.exe
  2⤵
  PID:4880
- C:\Windows\System32\OxJbegd.exe
  C:\Windows\System32\OxJbegd.exe
  2⤵
  PID:7368
- C:\Windows\System32\tnheOag.exe
  C:\Windows\System32\tnheOag.exe
  2⤵
  PID:4272
- C:\Windows\System32\lOdjwjk.exe
  C:\Windows\System32\lOdjwjk.exe
  2⤵
  PID:7624
- C:\Windows\System32\ATjYKXQ.exe
  C:\Windows\System32\ATjYKXQ.exe
  2⤵
  PID:4440
- C:\Windows\System32\WKPKIGI.exe
  C:\Windows\System32\WKPKIGI.exe
  2⤵
  PID:8208
- C:\Windows\System32\mChnJda.exe
  C:\Windows\System32\mChnJda.exe
  2⤵
  PID:8236
- C:\Windows\System32\ZdyIDrs.exe
  C:\Windows\System32\ZdyIDrs.exe
  2⤵
  PID:8268
- C:\Windows\System32\PJqNCpW.exe
  C:\Windows\System32\PJqNCpW.exe
  2⤵
  PID:8292
- C:\Windows\System32\QUHNzyt.exe
  C:\Windows\System32\QUHNzyt.exe
  2⤵
  PID:8320
- C:\Windows\System32\WaqccLV.exe
  C:\Windows\System32\WaqccLV.exe
  2⤵
  PID:8352
- C:\Windows\System32\YCdUniM.exe
  C:\Windows\System32\YCdUniM.exe
  2⤵
  PID:8380
- C:\Windows\System32\RnepclM.exe
  C:\Windows\System32\RnepclM.exe
  2⤵
  PID:8404
- C:\Windows\System32\CpESZja.exe
  C:\Windows\System32\CpESZja.exe
  2⤵
  PID:8432
- C:\Windows\System32\QvjyCBh.exe
  C:\Windows\System32\QvjyCBh.exe
  2⤵
  PID:8464
- C:\Windows\System32\YcDRQZo.exe
  C:\Windows\System32\YcDRQZo.exe
  2⤵
  PID:8552
- C:\Windows\System32\xMBnXMO.exe
  C:\Windows\System32\xMBnXMO.exe
  2⤵
  PID:8568
- C:\Windows\System32\PuBDTgH.exe
  C:\Windows\System32\PuBDTgH.exe
  2⤵
  PID:8588
- C:\Windows\System32\XnMgGUj.exe
  C:\Windows\System32\XnMgGUj.exe
  2⤵
  PID:8608
- C:\Windows\System32\MrVZMfb.exe
  C:\Windows\System32\MrVZMfb.exe
  2⤵
  PID:8640
- C:\Windows\System32\DkYgdId.exe
  C:\Windows\System32\DkYgdId.exe
  2⤵
  PID:8692
- C:\Windows\System32\QyoyJug.exe
  C:\Windows\System32\QyoyJug.exe
  2⤵
  PID:8736
- C:\Windows\System32\kUEQjdp.exe
  C:\Windows\System32\kUEQjdp.exe
  2⤵
  PID:8764
- C:\Windows\System32\QxAmAxW.exe
  C:\Windows\System32\QxAmAxW.exe
  2⤵
  PID:8800
- C:\Windows\System32\xXnyjxu.exe
  C:\Windows\System32\xXnyjxu.exe
  2⤵
  PID:8820
- C:\Windows\System32\MGuHMJM.exe
  C:\Windows\System32\MGuHMJM.exe
  2⤵
  PID:8848
- C:\Windows\System32\Meepwll.exe
  C:\Windows\System32\Meepwll.exe
  2⤵
  PID:8864
- C:\Windows\System32\ToCAjGP.exe
  C:\Windows\System32\ToCAjGP.exe
  2⤵
  PID:8884
- C:\Windows\System32\ydRGFEV.exe
  C:\Windows\System32\ydRGFEV.exe
  2⤵
  PID:8932
- C:\Windows\System32\FtkOUHj.exe
  C:\Windows\System32\FtkOUHj.exe
  2⤵
  PID:8948
- C:\Windows\System32\KfbuGHP.exe
  C:\Windows\System32\KfbuGHP.exe
  2⤵
  PID:8968
- C:\Windows\System32\xFLmGsb.exe
  C:\Windows\System32\xFLmGsb.exe
  2⤵
  PID:9004
- C:\Windows\System32\hMweNoE.exe
  C:\Windows\System32\hMweNoE.exe
  2⤵
  PID:9044
- C:\Windows\System32\wRrtRkU.exe
  C:\Windows\System32\wRrtRkU.exe
  2⤵
  PID:9064
- C:\Windows\System32\TQNvbFs.exe
  C:\Windows\System32\TQNvbFs.exe
  2⤵
  PID:9088
- C:\Windows\System32\ANnMHUX.exe
  C:\Windows\System32\ANnMHUX.exe
  2⤵
  PID:9124
- C:\Windows\System32\ZdtocXS.exe
  C:\Windows\System32\ZdtocXS.exe
  2⤵
  PID:9156
- C:\Windows\System32\LWtJrdB.exe
  C:\Windows\System32\LWtJrdB.exe
  2⤵
  PID:9172
- C:\Windows\System32\GhPBZXi.exe
  C:\Windows\System32\GhPBZXi.exe
  2⤵
  PID:9204
- C:\Windows\System32\gqHJLuD.exe
  C:\Windows\System32\gqHJLuD.exe
  2⤵
  PID:8328
- C:\Windows\System32\sIirJOl.exe
  C:\Windows\System32\sIirJOl.exe
  2⤵
  PID:8300
- C:\Windows\System32\FLxXBQc.exe
  C:\Windows\System32\FLxXBQc.exe
  2⤵
  PID:8232
- C:\Windows\System32\dGLjDQb.exe
  C:\Windows\System32\dGLjDQb.exe
  2⤵
  PID:8196
- C:\Windows\System32\fDYRsZb.exe
  C:\Windows\System32\fDYRsZb.exe
  2⤵
  PID:7372
- C:\Windows\System32\vxUxnNY.exe
  C:\Windows\System32\vxUxnNY.exe
  2⤵
  PID:5024
- C:\Windows\System32\LMrAPmn.exe
  C:\Windows\System32\LMrAPmn.exe
  2⤵
  PID:1676
- C:\Windows\System32\UqIBhET.exe
  C:\Windows\System32\UqIBhET.exe
  2⤵
  PID:1028
- C:\Windows\System32\lzRTVdY.exe
  C:\Windows\System32\lzRTVdY.exe
  2⤵
  PID:8124
- C:\Windows\System32\AwVxejs.exe
  C:\Windows\System32\AwVxejs.exe
  2⤵
  PID:6104
- C:\Windows\System32\AoandJn.exe
  C:\Windows\System32\AoandJn.exe
  2⤵
  PID:7992
- C:\Windows\System32\HSOayjg.exe
  C:\Windows\System32\HSOayjg.exe
  2⤵
  PID:960
- C:\Windows\System32\kwPvmcQ.exe
  C:\Windows\System32\kwPvmcQ.exe
  2⤵
  PID:8456
- C:\Windows\System32\tHyzPoD.exe
  C:\Windows\System32\tHyzPoD.exe
  2⤵
  PID:8496
- C:\Windows\System32\gokvAGA.exe
  C:\Windows\System32\gokvAGA.exe
  2⤵
  PID:8564
- C:\Windows\System32\njzqLLk.exe
  C:\Windows\System32\njzqLLk.exe
  2⤵
  PID:6860
- C:\Windows\System32\duPzaXc.exe
  C:\Windows\System32\duPzaXc.exe
  2⤵
  PID:7708
- C:\Windows\System32\GvkEOxZ.exe
  C:\Windows\System32\GvkEOxZ.exe
  2⤵
  PID:8620
- C:\Windows\System32\xBAnnjZ.exe
  C:\Windows\System32\xBAnnjZ.exe
  2⤵
  PID:8728
- C:\Windows\System32\RRITSIv.exe
  C:\Windows\System32\RRITSIv.exe
  2⤵
  PID:8776
- C:\Windows\System32\sUQuTrw.exe
  C:\Windows\System32\sUQuTrw.exe
  2⤵
  PID:208
- C:\Windows\System32\coTofMr.exe
  C:\Windows\System32\coTofMr.exe
  2⤵
  PID:8840
- C:\Windows\System32\QybjEQZ.exe
  C:\Windows\System32\QybjEQZ.exe
  2⤵
  PID:8928
- C:\Windows\System32\TGfFWeK.exe
  C:\Windows\System32\TGfFWeK.exe
  2⤵
  PID:8992
- C:\Windows\System32\gbjkefw.exe
  C:\Windows\System32\gbjkefw.exe
  2⤵
  PID:9052
- C:\Windows\System32\ELGzAiO.exe
  C:\Windows\System32\ELGzAiO.exe
  2⤵
  PID:9104
- C:\Windows\System32\KOYKVXO.exe
  C:\Windows\System32\KOYKVXO.exe
  2⤵
  PID:8388
- C:\Windows\System32\keEWVzo.exe
  C:\Windows\System32\keEWVzo.exe
  2⤵
  PID:8260
- C:\Windows\System32\CzTdrZt.exe
  C:\Windows\System32\CzTdrZt.exe
  2⤵
  PID:7396
- C:\Windows\System32\pKtGsZs.exe
  C:\Windows\System32\pKtGsZs.exe
  2⤵
  PID:700
- C:\Windows\System32\fojkvUK.exe
  C:\Windows\System32\fojkvUK.exe
  2⤵
  PID:972
- C:\Windows\System32\MQXbsUb.exe
  C:\Windows\System32\MQXbsUb.exe
  2⤵
  PID:4624
- C:\Windows\System32\qeymuuc.exe
  C:\Windows\System32\qeymuuc.exe
  2⤵
  PID:6812
- C:\Windows\System32\VRRSpTw.exe
  C:\Windows\System32\VRRSpTw.exe
  2⤵
  PID:216
- C:\Windows\System32\XXTUpKI.exe
  C:\Windows\System32\XXTUpKI.exe
  2⤵
  PID:8716
- C:\Windows\System32\YCNrqvY.exe
  C:\Windows\System32\YCNrqvY.exe
  2⤵
  PID:8856
- C:\Windows\System32\nUhQxvV.exe
  C:\Windows\System32\nUhQxvV.exe
  2⤵
  PID:8980
- C:\Windows\System32\RTpnqYI.exe
  C:\Windows\System32\RTpnqYI.exe
  2⤵
  PID:9032
- C:\Windows\System32\MZGwCvs.exe
  C:\Windows\System32\MZGwCvs.exe
  2⤵
  PID:9196
- C:\Windows\System32\NYLCxOv.exe
  C:\Windows\System32\NYLCxOv.exe
  2⤵
  PID:8252
- C:\Windows\System32\SPSMsRw.exe
  C:\Windows\System32\SPSMsRw.exe
  2⤵
  PID:5348
- C:\Windows\System32\ovmxPwb.exe
  C:\Windows\System32\ovmxPwb.exe
  2⤵
  PID:7436
- C:\Windows\System32\jglEPmo.exe
  C:\Windows\System32\jglEPmo.exe
  2⤵
  PID:8940
- C:\Windows\System32\xqJhUrS.exe
  C:\Windows\System32\xqJhUrS.exe
  2⤵
  PID:8344
- C:\Windows\System32\zJxayQW.exe
  C:\Windows\System32\zJxayQW.exe
  2⤵
  PID:1224
- C:\Windows\System32\gXhMLRN.exe
  C:\Windows\System32\gXhMLRN.exe
  2⤵
  PID:8748
- C:\Windows\System32\xWoRRpu.exe
  C:\Windows\System32\xWoRRpu.exe
  2⤵
  PID:8956
- C:\Windows\System32\rluVwKb.exe
  C:\Windows\System32\rluVwKb.exe
  2⤵
  PID:9220
- C:\Windows\System32\yDpIEwq.exe
  C:\Windows\System32\yDpIEwq.exe
  2⤵
  PID:9272
- C:\Windows\System32\wDPSbcl.exe
  C:\Windows\System32\wDPSbcl.exe
  2⤵
  PID:9304
- C:\Windows\System32\NIEsVXd.exe
  C:\Windows\System32\NIEsVXd.exe
  2⤵
  PID:9332
- C:\Windows\System32\TEyYgOq.exe
  C:\Windows\System32\TEyYgOq.exe
  2⤵
  PID:9356
- C:\Windows\System32\wmzCbFF.exe
  C:\Windows\System32\wmzCbFF.exe
  2⤵
  PID:9388
- C:\Windows\System32\XWpvIay.exe
  C:\Windows\System32\XWpvIay.exe
  2⤵
  PID:9416
- C:\Windows\System32\BInGUtm.exe
  C:\Windows\System32\BInGUtm.exe
  2⤵
  PID:9432
- C:\Windows\System32\oiWzlSV.exe
  C:\Windows\System32\oiWzlSV.exe
  2⤵
  PID:9472
- C:\Windows\System32\OoJwqvL.exe
  C:\Windows\System32\OoJwqvL.exe
  2⤵
  PID:9488
- C:\Windows\System32\uAnrUcT.exe
  C:\Windows\System32\uAnrUcT.exe
  2⤵
  PID:9508
- C:\Windows\System32\wHQhRMg.exe
  C:\Windows\System32\wHQhRMg.exe
  2⤵
  PID:9536
- C:\Windows\System32\pJmwTrc.exe
  C:\Windows\System32\pJmwTrc.exe
  2⤵
  PID:9588
- C:\Windows\System32\kySyWeL.exe
  C:\Windows\System32\kySyWeL.exe
  2⤵
  PID:9620
- C:\Windows\System32\XCDtxJg.exe
  C:\Windows\System32\XCDtxJg.exe
  2⤵
  PID:9636
- C:\Windows\System32\ejLnWcF.exe
  C:\Windows\System32\ejLnWcF.exe
  2⤵
  PID:9676
- C:\Windows\System32\NoQPCtn.exe
  C:\Windows\System32\NoQPCtn.exe
  2⤵
  PID:9704
- C:\Windows\System32\NPGMnva.exe
  C:\Windows\System32\NPGMnva.exe
  2⤵
  PID:9728
- C:\Windows\System32\qJRTxOL.exe
  C:\Windows\System32\qJRTxOL.exe
  2⤵
  PID:9760
- C:\Windows\System32\GUxOGol.exe
  C:\Windows\System32\GUxOGol.exe
  2⤵
  PID:9804
- C:\Windows\System32\dQiFHYr.exe
  C:\Windows\System32\dQiFHYr.exe
  2⤵
  PID:9820
- C:\Windows\System32\HyDaohl.exe
  C:\Windows\System32\HyDaohl.exe
  2⤵
  PID:9860
- C:\Windows\System32\fRSjalU.exe
  C:\Windows\System32\fRSjalU.exe
  2⤵
  PID:9876
- C:\Windows\System32\WVhwmhh.exe
  C:\Windows\System32\WVhwmhh.exe
  2⤵
  PID:9908
- C:\Windows\System32\kimRviI.exe
  C:\Windows\System32\kimRviI.exe
  2⤵
  PID:9948
- C:\Windows\System32\MUElsdx.exe
  C:\Windows\System32\MUElsdx.exe
  2⤵
  PID:9976
- C:\Windows\System32\KWHfKws.exe
  C:\Windows\System32\KWHfKws.exe
  2⤵
  PID:9996
- C:\Windows\System32\ROEKypn.exe
  C:\Windows\System32\ROEKypn.exe
  2⤵
  PID:10016
- C:\Windows\System32\AVdJxbi.exe
  C:\Windows\System32\AVdJxbi.exe
  2⤵
  PID:10056
- C:\Windows\System32\GKEkgyx.exe
  C:\Windows\System32\GKEkgyx.exe
  2⤵
  PID:10092
- C:\Windows\System32\TQAGtNI.exe
  C:\Windows\System32\TQAGtNI.exe
  2⤵
  PID:10120
- C:\Windows\System32\MkBqHvd.exe
  C:\Windows\System32\MkBqHvd.exe
  2⤵
  PID:10136
- C:\Windows\System32\QyluemD.exe
  C:\Windows\System32\QyluemD.exe
  2⤵
  PID:10180
- C:\Windows\System32\bkGKLAI.exe
  C:\Windows\System32\bkGKLAI.exe
  2⤵
  PID:10204
- C:\Windows\System32\Rwcecvg.exe
  C:\Windows\System32\Rwcecvg.exe
  2⤵
  PID:10220
- C:\Windows\System32\sBVSboX.exe
  C:\Windows\System32\sBVSboX.exe
  2⤵
  PID:9168
- C:\Windows\System32\WRohcUh.exe
  C:\Windows\System32\WRohcUh.exe
  2⤵
  PID:9260
- C:\Windows\System32\dDgeJFr.exe
  C:\Windows\System32\dDgeJFr.exe
  2⤵
  PID:9344
- C:\Windows\System32\NKFqrga.exe
  C:\Windows\System32\NKFqrga.exe
  2⤵
  PID:9412
- C:\Windows\System32\sjBQRZY.exe
  C:\Windows\System32\sjBQRZY.exe
  2⤵
  PID:9468
- C:\Windows\System32\kBgWtqn.exe
  C:\Windows\System32\kBgWtqn.exe
  2⤵
  PID:9568
- C:\Windows\System32\zEFNlJV.exe
  C:\Windows\System32\zEFNlJV.exe
  2⤵
  PID:9612
- C:\Windows\System32\oPawHqj.exe
  C:\Windows\System32\oPawHqj.exe
  2⤵
  PID:9724
- C:\Windows\System32\BYTudNN.exe
  C:\Windows\System32\BYTudNN.exe
  2⤵
  PID:9768
- C:\Windows\System32\PnrYxzj.exe
  C:\Windows\System32\PnrYxzj.exe
  2⤵
  PID:9872
- C:\Windows\System32\tPTTuLv.exe
  C:\Windows\System32\tPTTuLv.exe
  2⤵
  PID:9916
- C:\Windows\System32\NWwBgPv.exe
  C:\Windows\System32\NWwBgPv.exe
  2⤵
  PID:9992
- C:\Windows\System32\pVmvhUE.exe
  C:\Windows\System32\pVmvhUE.exe
  2⤵
  PID:10064
- C:\Windows\System32\ApTrXNR.exe
  C:\Windows\System32\ApTrXNR.exe
  2⤵
  PID:10132
- C:\Windows\System32\CrvfuJG.exe
  C:\Windows\System32\CrvfuJG.exe
  2⤵
  PID:10188
- C:\Windows\System32\UswUXKW.exe
  C:\Windows\System32\UswUXKW.exe
  2⤵
  PID:10216
- C:\Windows\System32\RXvytCz.exe
  C:\Windows\System32\RXvytCz.exe
  2⤵
  PID:9324
- C:\Windows\System32\xPVptOx.exe
  C:\Windows\System32\xPVptOx.exe
  2⤵
  PID:9496
- C:\Windows\System32\AVLIuGf.exe
  C:\Windows\System32\AVLIuGf.exe
  2⤵
  PID:9664
- C:\Windows\System32\FLOOORb.exe
  C:\Windows\System32\FLOOORb.exe
  2⤵
  PID:9812
- C:\Windows\System32\oEnFfQH.exe
  C:\Windows\System32\oEnFfQH.exe
  2⤵
  PID:9972
- C:\Windows\System32\YwWKTxq.exe
  C:\Windows\System32\YwWKTxq.exe
  2⤵
  PID:10160
- C:\Windows\System32\HqRuFxH.exe
  C:\Windows\System32\HqRuFxH.exe
  2⤵
  PID:9300
- C:\Windows\System32\pFhruyF.exe
  C:\Windows\System32\pFhruyF.exe
  2⤵
  PID:9604
- C:\Windows\System32\cfgURUs.exe
  C:\Windows\System32\cfgURUs.exe
  2⤵
  PID:9228
- C:\Windows\System32\SfrtYts.exe
  C:\Windows\System32\SfrtYts.exe
  2⤵
  PID:10088
- C:\Windows\System32\USnbsaa.exe
  C:\Windows\System32\USnbsaa.exe
  2⤵
  PID:10248
- C:\Windows\System32\QPvGbNA.exe
  C:\Windows\System32\QPvGbNA.exe
  2⤵
  PID:10288
- C:\Windows\System32\sWnUISh.exe
  C:\Windows\System32\sWnUISh.exe
  2⤵
  PID:10320
- C:\Windows\System32\ZWzbhgi.exe
  C:\Windows\System32\ZWzbhgi.exe
  2⤵
  PID:10348
- C:\Windows\System32\bGunKSR.exe
  C:\Windows\System32\bGunKSR.exe
  2⤵
  PID:10364
- C:\Windows\System32\JFaxvRR.exe
  C:\Windows\System32\JFaxvRR.exe
  2⤵
  PID:10396
- C:\Windows\System32\FCVCjHd.exe
  C:\Windows\System32\FCVCjHd.exe
  2⤵
  PID:10440
- C:\Windows\System32\ywrGiSh.exe
  C:\Windows\System32\ywrGiSh.exe
  2⤵
  PID:10488
- C:\Windows\System32\iXSgnGA.exe
  C:\Windows\System32\iXSgnGA.exe
  2⤵
  PID:10520
- C:\Windows\System32\ckWOBXJ.exe
  C:\Windows\System32\ckWOBXJ.exe
  2⤵
  PID:10540
- C:\Windows\System32\OXQiOkp.exe
  C:\Windows\System32\OXQiOkp.exe
  2⤵
  PID:10564
- C:\Windows\System32\rBFAouE.exe
  C:\Windows\System32\rBFAouE.exe
  2⤵
  PID:10592
- C:\Windows\System32\QDQYAtW.exe
  C:\Windows\System32\QDQYAtW.exe
  2⤵
  PID:10608
- C:\Windows\System32\NbENOtr.exe
  C:\Windows\System32\NbENOtr.exe
  2⤵
  PID:10648
- C:\Windows\System32\TVSuGgS.exe
  C:\Windows\System32\TVSuGgS.exe
  2⤵
  PID:10688
- C:\Windows\System32\QConMZG.exe
  C:\Windows\System32\QConMZG.exe
  2⤵
  PID:10720
- C:\Windows\System32\ZSAYBpb.exe
  C:\Windows\System32\ZSAYBpb.exe
  2⤵
  PID:10744
- C:\Windows\System32\lZnPres.exe
  C:\Windows\System32\lZnPres.exe
  2⤵
  PID:10772
- C:\Windows\System32\DQIaUQu.exe
  C:\Windows\System32\DQIaUQu.exe
  2⤵
  PID:10788
- C:\Windows\System32\SOMtPcZ.exe
  C:\Windows\System32\SOMtPcZ.exe
  2⤵
  PID:10828
- C:\Windows\System32\dhFmQrc.exe
  C:\Windows\System32\dhFmQrc.exe
  2⤵
  PID:10856
- C:\Windows\System32\KtCedLC.exe
  C:\Windows\System32\KtCedLC.exe
  2⤵
  PID:10872
- C:\Windows\System32\mLeaZYZ.exe
  C:\Windows\System32\mLeaZYZ.exe
  2⤵
  PID:10916
- C:\Windows\System32\gQaRBKK.exe
  C:\Windows\System32\gQaRBKK.exe
  2⤵
  PID:10940
- C:\Windows\System32\ElJQICk.exe
  C:\Windows\System32\ElJQICk.exe
  2⤵
  PID:10956
- C:\Windows\System32\rKFgmYh.exe
  C:\Windows\System32\rKFgmYh.exe
  2⤵
  PID:10972
- C:\Windows\System32\PalgMMo.exe
  C:\Windows\System32\PalgMMo.exe
  2⤵
  PID:11024
- C:\Windows\System32\VqOmpCR.exe
  C:\Windows\System32\VqOmpCR.exe
  2⤵
  PID:11052
- C:\Windows\System32\zKPGIcS.exe
  C:\Windows\System32\zKPGIcS.exe
  2⤵
  PID:11068
- C:\Windows\System32\dMkdxys.exe
  C:\Windows\System32\dMkdxys.exe
  2⤵
  PID:11116
- C:\Windows\System32\QGuvVUy.exe
  C:\Windows\System32\QGuvVUy.exe
  2⤵
  PID:11144
- C:\Windows\System32\RSVtRTf.exe
  C:\Windows\System32\RSVtRTf.exe
  2⤵
  PID:11164
- C:\Windows\System32\qOvFuoL.exe
  C:\Windows\System32\qOvFuoL.exe
  2⤵
  PID:11192
- C:\Windows\System32\hjDrAIg.exe
  C:\Windows\System32\hjDrAIg.exe
  2⤵
  PID:11216
- C:\Windows\System32\tQNZzEa.exe
  C:\Windows\System32\tQNZzEa.exe
  2⤵
  PID:11244
- C:\Windows\System32\OoVSkIa.exe
  C:\Windows\System32\OoVSkIa.exe
  2⤵
  PID:10276
- C:\Windows\System32\EgNTNAi.exe
  C:\Windows\System32\EgNTNAi.exe
  2⤵
  PID:10340
- C:\Windows\System32\PESHSnc.exe
  C:\Windows\System32\PESHSnc.exe
  2⤵
  PID:10376
- C:\Windows\System32\mznsQgt.exe
  C:\Windows\System32\mznsQgt.exe
  2⤵
  PID:10408
- C:\Windows\System32\rbeKxbq.exe
  C:\Windows\System32\rbeKxbq.exe
  2⤵
  PID:10556
- C:\Windows\System32\oRHqOpS.exe
  C:\Windows\System32\oRHqOpS.exe
  2⤵
  PID:10604
- C:\Windows\System32\tAkulup.exe
  C:\Windows\System32\tAkulup.exe
  2⤵
  PID:10628
- C:\Windows\System32\TXdCSTk.exe
  C:\Windows\System32\TXdCSTk.exe
  2⤵
  PID:10760
- C:\Windows\System32\GzYDriI.exe
  C:\Windows\System32\GzYDriI.exe
  2⤵
  PID:10800
- C:\Windows\System32\HyIIyHp.exe
  C:\Windows\System32\HyIIyHp.exe
  2⤵
  PID:10868
- C:\Windows\System32\KlARtoi.exe
  C:\Windows\System32\KlARtoi.exe
  2⤵
  PID:10968
- C:\Windows\System32\IHgcsaD.exe
  C:\Windows\System32\IHgcsaD.exe
  2⤵
  PID:11004
- C:\Windows\System32\NKkcral.exe
  C:\Windows\System32\NKkcral.exe
  2⤵
  PID:11064
- C:\Windows\System32\xzephTJ.exe
  C:\Windows\System32\xzephTJ.exe
  2⤵
  PID:11160
- C:\Windows\System32\tTcnafE.exe
  C:\Windows\System32\tTcnafE.exe
  2⤵
  PID:11212
- C:\Windows\System32\hAIVINU.exe
  C:\Windows\System32\hAIVINU.exe
  2⤵
  PID:10312
- C:\Windows\System32\OZazBGA.exe
  C:\Windows\System32\OZazBGA.exe
  2⤵
  PID:10500
- C:\Windows\System32\fOltQOn.exe
  C:\Windows\System32\fOltQOn.exe
  2⤵
  PID:10676
- C:\Windows\System32\titdEuF.exe
  C:\Windows\System32\titdEuF.exe
  2⤵
  PID:10780
- C:\Windows\System32\XhsuSVP.exe
  C:\Windows\System32\XhsuSVP.exe
  2⤵
  PID:10964
- C:\Windows\System32\yhKUqIB.exe
  C:\Windows\System32\yhKUqIB.exe
  2⤵
  PID:11128
- C:\Windows\System32\XBEMcRi.exe
  C:\Windows\System32\XBEMcRi.exe
  2⤵
  PID:10644
- C:\Windows\System32\FVPMzhU.exe
  C:\Windows\System32\FVPMzhU.exe
  2⤵
  PID:10784
- C:\Windows\System32\CiqnfmG.exe
  C:\Windows\System32\CiqnfmG.exe
  2⤵
  PID:11100
- C:\Windows\System32\ILHnUlZ.exe
  C:\Windows\System32\ILHnUlZ.exe
  2⤵
  PID:10588
- C:\Windows\System32\oiNBEHB.exe
  C:\Windows\System32\oiNBEHB.exe
  2⤵
  PID:11276
- C:\Windows\System32\DnzlaJP.exe
  C:\Windows\System32\DnzlaJP.exe
  2⤵
  PID:11292
- C:\Windows\System32\bXVCEtC.exe
  C:\Windows\System32\bXVCEtC.exe
  2⤵
  PID:11320
- C:\Windows\System32\PMZSBpo.exe
  C:\Windows\System32\PMZSBpo.exe
  2⤵
  PID:11352
- C:\Windows\System32\GuElqpe.exe
  C:\Windows\System32\GuElqpe.exe
  2⤵
  PID:11376
- C:\Windows\System32\IsafZsZ.exe
  C:\Windows\System32\IsafZsZ.exe
  2⤵
  PID:11404
- C:\Windows\System32\UhYYfII.exe
  C:\Windows\System32\UhYYfII.exe
  2⤵
  PID:11424
- C:\Windows\System32\kJaNRom.exe
  C:\Windows\System32\kJaNRom.exe
  2⤵
  PID:11452
- C:\Windows\System32\ZSQddMD.exe
  C:\Windows\System32\ZSQddMD.exe
  2⤵
  PID:11488
- C:\Windows\System32\DvMFbAR.exe
  C:\Windows\System32\DvMFbAR.exe
  2⤵
  PID:11512
- C:\Windows\System32\RCYvzvT.exe
  C:\Windows\System32\RCYvzvT.exe
  2⤵
  PID:11544
- C:\Windows\System32\BosytgP.exe
  C:\Windows\System32\BosytgP.exe
  2⤵
  PID:11584
- C:\Windows\System32\mfzOeQo.exe
  C:\Windows\System32\mfzOeQo.exe
  2⤵
  PID:11628
- C:\Windows\System32\RvTbwva.exe
  C:\Windows\System32\RvTbwva.exe
  2⤵
  PID:11656
- C:\Windows\System32\yBgtZVV.exe
  C:\Windows\System32\yBgtZVV.exe
  2⤵
  PID:11700
- C:\Windows\System32\UTqGPTn.exe
  C:\Windows\System32\UTqGPTn.exe
  2⤵
  PID:11728
- C:\Windows\System32\QQrWXfX.exe
  C:\Windows\System32\QQrWXfX.exe
  2⤵
  PID:11764
- C:\Windows\System32\qRLuITT.exe
  C:\Windows\System32\qRLuITT.exe
  2⤵
  PID:11796
- C:\Windows\System32\plhNlHL.exe
  C:\Windows\System32\plhNlHL.exe
  2⤵
  PID:11812
- C:\Windows\System32\GxGkOBn.exe
  C:\Windows\System32\GxGkOBn.exe
  2⤵
  PID:11836
- C:\Windows\System32\sFonoRL.exe
  C:\Windows\System32\sFonoRL.exe
  2⤵
  PID:11876
- C:\Windows\System32\rQLwTiD.exe
  C:\Windows\System32\rQLwTiD.exe
  2⤵
  PID:11900
- C:\Windows\System32\CzjoLBg.exe
  C:\Windows\System32\CzjoLBg.exe
  2⤵
  PID:11936
- C:\Windows\System32\YQavDLM.exe
  C:\Windows\System32\YQavDLM.exe
  2⤵
  PID:11980
- C:\Windows\System32\GZNBDmU.exe
  C:\Windows\System32\GZNBDmU.exe
  2⤵
  PID:12040
- C:\Windows\System32\UBfywhF.exe
  C:\Windows\System32\UBfywhF.exe
  2⤵
  PID:12068
- C:\Windows\System32\yfrqtCT.exe
  C:\Windows\System32\yfrqtCT.exe
  2⤵
  PID:12096
- C:\Windows\System32\KJXwdsn.exe
  C:\Windows\System32\KJXwdsn.exe
  2⤵
  PID:12124
- C:\Windows\System32\QWNnfUD.exe
  C:\Windows\System32\QWNnfUD.exe
  2⤵
  PID:12156
- C:\Windows\System32\CJYzgyO.exe
  C:\Windows\System32\CJYzgyO.exe
  2⤵
  PID:12192
- C:\Windows\System32\KVXPThc.exe
  C:\Windows\System32\KVXPThc.exe
  2⤵
  PID:12208
- C:\Windows\System32\NcNGiKm.exe
  C:\Windows\System32\NcNGiKm.exe
  2⤵
  PID:12248
- C:\Windows\System32\iVAISep.exe
  C:\Windows\System32\iVAISep.exe
  2⤵
  PID:12264
- C:\Windows\System32\CJrQsiI.exe
  C:\Windows\System32\CJrQsiI.exe
  2⤵
  PID:11288
- C:\Windows\System32\IrpGBTI.exe
  C:\Windows\System32\IrpGBTI.exe
  2⤵
  PID:11348
- C:\Windows\System32\aYqQMJz.exe
  C:\Windows\System32\aYqQMJz.exe
  2⤵
  PID:11388
- C:\Windows\System32\bqdfTYO.exe
  C:\Windows\System32\bqdfTYO.exe
  2⤵
  PID:11436
- C:\Windows\System32\fXOiYbO.exe
  C:\Windows\System32\fXOiYbO.exe
  2⤵
  PID:11476
- C:\Windows\System32\IaItefE.exe
  C:\Windows\System32\IaItefE.exe
  2⤵
  PID:11564
- C:\Windows\System32\WNwijeu.exe
  C:\Windows\System32\WNwijeu.exe
  2⤵
  PID:11708
- C:\Windows\System32\lcNmFvD.exe
  C:\Windows\System32\lcNmFvD.exe
  2⤵
  PID:11776
- C:\Windows\System32\GLHRnEM.exe
  C:\Windows\System32\GLHRnEM.exe
  2⤵
  PID:11844
- C:\Windows\System32\MxGfiHd.exe
  C:\Windows\System32\MxGfiHd.exe
  2⤵
  PID:11916
- C:\Windows\System32\wOzhzml.exe
  C:\Windows\System32\wOzhzml.exe
  2⤵
  PID:12048
- C:\Windows\System32\VDQSDZa.exe
  C:\Windows\System32\VDQSDZa.exe
  2⤵
  PID:12108
- C:\Windows\System32\ikbFtUe.exe
  C:\Windows\System32\ikbFtUe.exe
  2⤵
  PID:12152
- C:\Windows\System32\vnMsCyJ.exe
  C:\Windows\System32\vnMsCyJ.exe
  2⤵
  PID:12220
- C:\Windows\System32\CYKpCwm.exe
  C:\Windows\System32\CYKpCwm.exe
  2⤵
  PID:11304
- C:\Windows\System32\dpbhkIg.exe
  C:\Windows\System32\dpbhkIg.exe
  2⤵
  PID:11368
- C:\Windows\System32\WPhnTqU.exe
  C:\Windows\System32\WPhnTqU.exe
  2⤵
  PID:400
- C:\Windows\System32\OXBpHir.exe
  C:\Windows\System32\OXBpHir.exe
  2⤵
  PID:5620
- C:\Windows\System32\mZwqeMV.exe
  C:\Windows\System32\mZwqeMV.exe
  2⤵
  PID:11612
- C:\Windows\System32\CRoQbgs.exe
  C:\Windows\System32\CRoQbgs.exe
  2⤵
  PID:11908
- C:\Windows\System32\kxYbhaE.exe
  C:\Windows\System32\kxYbhaE.exe
  2⤵
  PID:10508
- C:\Windows\System32\OjswtPr.exe
  C:\Windows\System32\OjswtPr.exe
  2⤵
  PID:12180
- C:\Windows\System32\NQzzDkT.exe
  C:\Windows\System32\NQzzDkT.exe
  2⤵
  PID:12260
- C:\Windows\System32\WCDmcfH.exe
  C:\Windows\System32\WCDmcfH.exe
  2⤵
  PID:11392
- C:\Windows\System32\cCwfBDh.exe
  C:\Windows\System32\cCwfBDh.exe
  2⤵
  PID:11668
- C:\Windows\System32\tPysqHb.exe
  C:\Windows\System32\tPysqHb.exe
  2⤵
  PID:12088
- C:\Windows\System32\KUvdEps.exe
  C:\Windows\System32\KUvdEps.exe
  2⤵
  PID:6072
- C:\Windows\System32\bMAoZCV.exe
  C:\Windows\System32\bMAoZCV.exe
  2⤵
  PID:12304
- C:\Windows\System32\wEQEiZj.exe
  C:\Windows\System32\wEQEiZj.exe
  2⤵
  PID:12340
- C:\Windows\System32\mrcFrJq.exe
  C:\Windows\System32\mrcFrJq.exe
  2⤵
  PID:12364
- C:\Windows\System32\WFPLWBZ.exe
  C:\Windows\System32\WFPLWBZ.exe
  2⤵
  PID:12396
- C:\Windows\System32\ZYOzNld.exe
  C:\Windows\System32\ZYOzNld.exe
  2⤵
  PID:12432
- C:\Windows\System32\vgIcBdu.exe
  C:\Windows\System32\vgIcBdu.exe
  2⤵
  PID:12476
- C:\Windows\System32\PJCexVc.exe
  C:\Windows\System32\PJCexVc.exe
  2⤵
  PID:12496
- C:\Windows\System32\QHQyIZf.exe
  C:\Windows\System32\QHQyIZf.exe
  2⤵
  PID:12532
- C:\Windows\System32\yCnOPhf.exe
  C:\Windows\System32\yCnOPhf.exe
  2⤵
  PID:12552
- C:\Windows\System32\zqZBJaN.exe
  C:\Windows\System32\zqZBJaN.exe
  2⤵
  PID:12584
- C:\Windows\System32\ibQUmXM.exe
  C:\Windows\System32\ibQUmXM.exe
  2⤵
  PID:12636
- C:\Windows\System32\oQBollK.exe
  C:\Windows\System32\oQBollK.exe
  2⤵
  PID:12664
- C:\Windows\System32\FLGuuwf.exe
  C:\Windows\System32\FLGuuwf.exe
  2⤵
  PID:12692
- C:\Windows\System32\bQYtGLG.exe
  C:\Windows\System32\bQYtGLG.exe
  2⤵
  PID:12760
- C:\Windows\System32\NDCJhmQ.exe
  C:\Windows\System32\NDCJhmQ.exe
  2⤵
  PID:12776
- C:\Windows\System32\vFXsKaD.exe
  C:\Windows\System32\vFXsKaD.exe
  2⤵
  PID:12808
- C:\Windows\System32\cKcghvp.exe
  C:\Windows\System32\cKcghvp.exe
  2⤵
  PID:12852
- C:\Windows\System32\tvsjkiL.exe
  C:\Windows\System32\tvsjkiL.exe
  2⤵
  PID:12884
- C:\Windows\System32\XaiRrKC.exe
  C:\Windows\System32\XaiRrKC.exe
  2⤵
  PID:12904
- C:\Windows\System32\XsGjplH.exe
  C:\Windows\System32\XsGjplH.exe
  2⤵
  PID:12932
- C:\Windows\System32\JmumMzb.exe
  C:\Windows\System32\JmumMzb.exe
  2⤵
  PID:12956
- C:\Windows\System32\hXqQiuU.exe
  C:\Windows\System32\hXqQiuU.exe
  2⤵
  PID:12984
- C:\Windows\System32\jhkzmpH.exe
  C:\Windows\System32\jhkzmpH.exe
  2⤵
  PID:13028
- C:\Windows\System32\jpNDXlK.exe
  C:\Windows\System32\jpNDXlK.exe
  2⤵
  PID:13072
- C:\Windows\System32\UfjdKLJ.exe
  C:\Windows\System32\UfjdKLJ.exe
  2⤵
  PID:13092
- C:\Windows\System32\wNzbBRw.exe
  C:\Windows\System32\wNzbBRw.exe
  2⤵
  PID:13108
- C:\Windows\System32\mCIDgYW.exe
  C:\Windows\System32\mCIDgYW.exe
  2⤵
  PID:13156
- C:\Windows\System32\kojqnIX.exe
  C:\Windows\System32\kojqnIX.exe
  2⤵
  PID:13184
- C:\Windows\System32\JJWLDQT.exe
  C:\Windows\System32\JJWLDQT.exe
  2⤵
  PID:13216
- C:\Windows\System32\jvmmLFh.exe
  C:\Windows\System32\jvmmLFh.exe
  2⤵
  PID:13248
- C:\Windows\System32\FNVnHQE.exe
  C:\Windows\System32\FNVnHQE.exe
  2⤵
  PID:13284
- C:\Windows\System32\VCkcKVk.exe
  C:\Windows\System32\VCkcKVk.exe
  2⤵
  PID:10304
- C:\Windows\System32\BfdNNLK.exe
  C:\Windows\System32\BfdNNLK.exe
  2⤵
  PID:12316
- C:\Windows\System32\BgYAMvZ.exe
  C:\Windows\System32\BgYAMvZ.exe
  2⤵
  PID:12376

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:11312

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BJZdxXR.exe

Filesize
2.6MB

MD5
4c046f2a47c1433a3d670fe2199f7e3d

SHA1
cfcd9183a84a73f6226e0603329dd7b3be67c014

SHA256
3e7dbfec7581eed52c7d2dd20b0922838871aa049e20c56056d1f13ffa29ec38

SHA512
9b496f6a68ef7cd41f033103dd65e3ef8d658c0a473ec32a4611872dbdd46ec2fca05ebae3a629ecb1c3b51aecaf5d5cf44d2a8187ee03c0b908c3b9ae1a82da

Download Submit
C:\Windows\System32\BsTVcaf.exe

Filesize
2.6MB

MD5
c7b768a2cd594e8d9178ac5b186dd410

SHA1
9f4b80724dd88e6a4da4d49312963887f1d80de0

SHA256
8174313ef7a9cee923ddb37eee9dbd68f16dda856001116d5ffb467a7eff230e

SHA512
2bd02e037e3749322ce426166bdf64a2083f770c1ef28101407105d18959098d113f82f482a4079e0eb9d9b217a75c81c452c80f60153d9dcd325618a4ea6d28

Download Submit
C:\Windows\System32\DLcTNej.exe

Filesize
2.6MB

MD5
d99655b1c06f36353a05113c45a1328e

SHA1
3da730b2c4533b8a67a723ecb4a6d71ea9b03e5e

SHA256
0c855808a7f02f067b66785965566e6e02fb9e498b7581b155e788df9b86f760

SHA512
e21fe404ffe71b920140bb4db7df4b78b0528012c416d34712cda32016e11412f438dc52613a60cb40ebf4939c27f8c302778704c29895d7f0eb99902869f496

Download Submit
C:\Windows\System32\DVRDKtK.exe

Filesize
2.6MB

MD5
85a7df39e9fd59fea6607f903dcd45c1

SHA1
347eaaa4c45cd6fe771533aecf74e4b392c257d2

SHA256
bf1ff70c43052bb91c48567ab8a0971ba9b54937ed0c853708350179250e900d

SHA512
42d63d0e3b16d659e9b9bb5612b50afdfa6938dc296361702779692610a0fe7f0925ee973015bcc761e12cdf19171822d96a4cc17a84ce5b1e437d95a418e6eb

Download Submit
C:\Windows\System32\EQnnpdp.exe

Filesize
2.6MB

MD5
b67a9beb4413060abc5aa78c25a9cab4

SHA1
b0817a39772ee43774f7e5976e94bad1ae3158bc

SHA256
a2cccc1cb48d8f71b91d9f0180567caf971a719c518503a4678a669b3c42557b

SHA512
5bf3e7e1a1c58818d852fc27a15937473c1a679c6b840c19f0854e5821c937ff345e2e90cec847d774b6427dd032cd1ba652c273e5030c594584fc5087c8cd16

Download Submit
C:\Windows\System32\GSwLsWA.exe

Filesize
2.6MB

MD5
322fa7c2c909087d823efdc5347fdac6

SHA1
d3343d36cb757b3837762562a58ddd4093ee5fa3

SHA256
125e87209baca3f06c355ac2bcd73ca16e736b1192369404f8edda9084ee5600

SHA512
f33851407be57b80551dfd2e8802b8670726e0317e1badc025b72856081ea9d617d7209c3ab5c73ff6a265a3454a97a1721aeb35ef2df8ed0c83e5f2b31e7d7c

Download Submit
C:\Windows\System32\IIxFogA.exe

Filesize
2.6MB

MD5
253837561054087877fdeebb57434bda

SHA1
4dec3e1b1f8c26a72755ac863fea1622c9dc3c85

SHA256
cbda87c077c5ffbd5b2ed1b4a50c29590e7110a77ba360b97769e18f143513b5

SHA512
1dcc94658632ea596f6b8d5afda724357ebb024a0f3d8f31fd179cb362c3ee62059b68348735ac21e8c967e16e428ffcaff1184823a6ee65e7fa510ff10fe88f

Download Submit
C:\Windows\System32\JLQZBak.exe

Filesize
2.6MB

MD5
32d40d046a9bc82adbb05db89f2a54cf

SHA1
92efb3ef88b99b6187ba0a839f86455e47d01dfb

SHA256
3634f544c0ee56b98aa693519117ab3158895138114dca49255f9a4d29bd58c9

SHA512
854fdc0b7710e91202b00a51c8f5e067fd2ac81a4d6915f9ac06b14c083b15b9e6dbec54559eced2f1e44a1ec10fbfc7877605a3e7b4a46811bd8d897b66646f

Download Submit
C:\Windows\System32\MdeUTrq.exe

Filesize
2.6MB

MD5
1e5917507f07b7f7376501b52848d4d4

SHA1
749dc237b5eda42e59fda03af742c663e9ac721f

SHA256
23c6dedc58e7f85d8a544577e850d74fc9b3c2e27c8305009ebb9c96cb6e5254

SHA512
fb34d805c44dda8ad866434e6ee1e0ac45a25bc2c408a6ea163db03e1f7c681b8195a0b96a13e959ee3de42a2971c508dc310c4e986a7d8401d378073b342891

Download Submit
C:\Windows\System32\MzItquG.exe

Filesize
2.6MB

MD5
6ce471f1818a8551dfb99bd9cbf0dd10

SHA1
91bef13a8951ebd3d55027e74ebf4c56bfe64e09

SHA256
02491d15c6aa23742e2dd70f5239e3246ad35672d25f25e6541e8b84ba977177

SHA512
7e9a75e28d668ee2c8997cb7278bd30307e987303a9177fa00ad11e2894850e83486de7b85ed3c2d6b7264b30b1bc76b8ffd65991cbee790dfa8421f2b21de5e

Download Submit
C:\Windows\System32\NWRPGPk.exe

Filesize
2.6MB

MD5
b5dc997f702b36789b52446fc0ce1a40

SHA1
f5337148bd707b4263606363755d21ea33ecf3db

SHA256
b6519aad6d320c81350a02773c71e587f784ef608f6379faa46fc822cd33edc2

SHA512
2766edcc7d37167aeda66b097c18d8302f1a45ee51a477f937bbad08035a1682456359b2581448a15bc73e2325e9267d9500432c996830a11c604382d5fbd677

Download Submit
C:\Windows\System32\NXmpmbo.exe

Filesize
2.6MB

MD5
21c1374867f1e2504402b4e6c13982a9

SHA1
b26f9964c22a63066381134689e9dfa5bc03b541

SHA256
4d890766775c72c0915ac1a694472ec0dcf75b9877520de4d95a427af65c2843

SHA512
417117e68171200ba0f96bdb992a7e8eb78df2651d2c21465c38529c4d01c8ab137e551799ee1dd5b69234f9ff98d1983e74737f4bc5b029f614f4a4b32b33f0

Download Submit
C:\Windows\System32\NfeywKp.exe

Filesize
2.6MB

MD5
ad2cb44828537e75dbea596edf174565

SHA1
54bce7dccb74d72ab4455ef4f5d720fdc3c262f5

SHA256
c62cbb335340ea16393ca73d508f66a94603e32316448ebbc3819e892c2005de

SHA512
624f2ad5dba48780269ecfe85b0a6b9ac72f55daec1e51a6f7263de978431be2fb7cd5f5d0f00795714c0b0c5c15608b4ef140b2eea926144fc02c739d96f1c2

Download Submit
C:\Windows\System32\NiNgwgR.exe

Filesize
2.6MB

MD5
17d3ab8b33ad43cfed73cd9961bb507b

SHA1
377f413416764721c1b88fa78178c0da380af18e

SHA256
316952f1b1f52ea9b0015e2cdbb2967b852b50bdb970a11529fa7b7495c11470

SHA512
80ade12313b240b78feab5bc212d16973a0660dd866df1b76f9a5a74326f7ebc149a0360b852d1875797e261b60f95b2af4e62179e6cbfe0a09ebe8738205daf

Download Submit
C:\Windows\System32\RzwcIZP.exe

Filesize
2.6MB

MD5
c5d84b7b7a348a81022f9315c161344e

SHA1
44f4785b9271d7e957973b215722d760747c5c84

SHA256
ddca3e35964d84a9d62b88ef2db68f7e3f680a85bafe583ba95c7e4a703fd103

SHA512
5a85acd3032fb910fb8e4f21001faaef8cf056fd2cafc68bd0382269a551b7e840b70e3a5f449039238cdf70b4a25e0787b1632a10ae525d13f665ae1fe6bb50

Download Submit
C:\Windows\System32\UJGKoDB.exe

Filesize
2.6MB

MD5
47a4bef96f527e7b7a329e55e98b24ce

SHA1
132d6278caf8781dc89f162c4aa0cef7696a0b08

SHA256
eed4f9b769ae1267e8ad002748c1109ee085ea0d26b5676afa428ecc7fc56b10

SHA512
51069dc925b51907ba16060a9134ae65528c071737356b218f542ed031edf28c445d383d0a6a562f919b3bf791fc9b86d1293d13905a95133eb19d8a0d4b505c

Download Submit
C:\Windows\System32\WIGpVTx.exe

Filesize
2.6MB

MD5
5a63c828d73816d292806cfa173dbf1d

SHA1
103095b30253896c4a7b0d3dce83e9efc933bde5

SHA256
76fa451a770b9987e99d0846d3ab0e55ab7e536960b14de9e3437602b67d8ad3

SHA512
fff691c440938c10e4a752eec44602bafca10983df10b071731886c9ba40748478cab0770d07f1faf984c8bedf3e7c3dbbf08952a6dd314359aeea7749109a15

Download Submit
C:\Windows\System32\WsXIyGh.exe

Filesize
2.6MB

MD5
766c1a4e2ae250fc35ac73bc2eb867bb

SHA1
34156e0de33d1cc5adf52698f36d3221fef3a13e

SHA256
98b332839ed6d13cc60c989edaa2cb15f4fbd6149109a69c49677dd52f6f735e

SHA512
414d9750aa3789c7e99cbb36520f21537506b47598dc53ee6d28367a85cb188cc35f494868058310570b113e3ced62e5a2a02a001f6f66b557772dbd551b8b6c

Download Submit
C:\Windows\System32\XIzyRVw.exe

Filesize
2.6MB

MD5
9e04c236d8ebb5480885c724b0da1596

SHA1
5873e4fa8ad064151302560e6170a21771e554c4

SHA256
7478f4109772601938d8a23f2c4e796fbda5359dce3b62d9539accf6b9f54e4e

SHA512
ae260f94d4f667549db6a2eb7a313d713dd3c543f9044632c189027840c4cc6637d593799afb85c558c7fcac33a572a628803424c617e537511d6d9c11565937

Download Submit
C:\Windows\System32\buSWGJn.exe

Filesize
2.6MB

MD5
fe7b273f153e6a1f8f24ec902e845c47

SHA1
f05a14de0d6f6676662098bc67d7830a74488932

SHA256
b55319519ce8960731b8abc6046bcde99cce5392c5447ed3085a547fcd23403c

SHA512
ad53b675e4db8470cc1e7a2e35eaa9baaf581af78410b76a29dc8bff7c714e1a065a35e02f2f52b1d6bea082fce63b3cf53b47be47e20b6f87c7a950614c7cba

Download Submit
C:\Windows\System32\ciYGKzn.exe

Filesize
2.6MB

MD5
d9f85e37b78ef36c9339cce632d2ddf3

SHA1
c5e7bac1b1ef0a987794360bc1f29a76b64a0e43

SHA256
513adbb2aeb9c4664715de3bf65aa5e2a588cb3380d27d28e3a58a799c502e5c

SHA512
3b9c772decd4057f7376de4fc0579813525003241265ec0146b1b2899d6dfbdd8695c45e85cff186994a8271255c21fc99d87dc529fe93842af405e3ae1bc7b9

Download Submit
C:\Windows\System32\fjifKfh.exe

Filesize
2.6MB

MD5
4bf8f07f9a4bbdcb73f44ff14aa8426f

SHA1
a69783058add1151f417aaf45bc8c4118df0e192

SHA256
2c54b01e072d0f624938754abaab7990b29fffa8ce20d371b9887de118bede8b

SHA512
ad3b003a215e96df5e7dc8c3a7b6ba5400524717f04f3c17b72557d35310dfaa541f37838db044cea3ad08fb0104af0495bee0d7fab977fdd5f2c89cd2755c30

Download Submit
C:\Windows\System32\krHrgDe.exe

Filesize
2.6MB

MD5
630744d27d071d89e3b0529ed18ce3fe

SHA1
5b78e7c7def8819e4eb47d7464fa7bb585da9143

SHA256
1e5486122fdb6d69de3499a73ee46410dcc7d16ccf68e992176962b22df6f652

SHA512
8cf30da071e9d86f81e5887974acf78d4c8826b688e6566e53e26aa7f40f6bd6a50214075c016911755e75d7373ce7d7d703ee22f2dff1c89b64899f29a20297

Download Submit
C:\Windows\System32\lWpqaRX.exe

Filesize
2.6MB

MD5
4b4fd3402b087575dd55ad5db5bb3863

SHA1
6fe976fe3539c630f945a81afa52dcb089447ae9

SHA256
fbe4968a62d70692100f4dbbc6d2a80349ff3cf75dd25232901f0419b847f0d5

SHA512
2e5cafe5331bec5a5558e27b95abb770777d30e7b89ebf3111486cb51b2f2cf1fd146201f4bff6e558d56f1df9bab1301f8bf3caea80ce0848525a6e0ea517e0

Download Submit
C:\Windows\System32\lqFBxeC.exe

Filesize
2.6MB

MD5
ad548bf613bfd09711105df6ef1b7f7f

SHA1
62f8672a8cff82e21d6d1bce00ac245abf3c87c8

SHA256
75ec6f63cc6ff90e8a06561283121c109efb432d087e418caf472cdf75414c01

SHA512
201bc0cc5d9457081d61a0aa54502383669119d9553bcd689ce6c3bc7134ff425a9dd97b6d545fb54a89351c100d8a0fa5eef961d33de8b6b6927ba9facdf503

Download Submit
C:\Windows\System32\lreIEVj.exe

Filesize
2.6MB

MD5
55e3fd953fab43d84ccca0bd8fdeffb4

SHA1
cc9cb4d324bad97b6509def31d5844f335c434a2

SHA256
721f66f7513ca285657b24b1bf061478b42c78147f20cf28d9ea42cfb50e9f1a

SHA512
fb3913a2f2414378f9a493e9449a929e177fee64230d7de6e9246d4473162d51f1b16a8e07661c705fadd4f449e07594b908f759c9d66f1fcdc00f946696c371

Download Submit
C:\Windows\System32\pfJplcH.exe

Filesize
2.6MB

MD5
d39f87ce9f3946e8e6028a7cbd304190

SHA1
249aeab55c6cfe562d4d2b64bacd00a61770b15a

SHA256
12150282d781477ec052bf447c0582e9e4829388530ff354794c89175f9822df

SHA512
a70a0a40db6fa292969e4e65b88646c0df52cfc9440a4f744e75144cc362ad62340f4beabcde67354a26ee57c791fb3d76fb5829873498e8932182d964130c82

Download Submit
C:\Windows\System32\tXoArGv.exe

Filesize
2.6MB

MD5
bc582c8df2fd1797cad34c3d100f5c44

SHA1
b19e1c1783abcb39392ba6ea87b9b4c866baa3f6

SHA256
86792ccbdf6cd9fb55a0b64a6a02c5e92dfd8e5ccaf6ebde7bab428a90eb3fe6

SHA512
1d5106a0e16af7d7623589afdbf98adab53c9ded4d27bb82b977e0be51b231e1009fe2e0a62a1a30efb433a11a6164087538710d14695cad62fe5e19365f9dd9

Download Submit
C:\Windows\System32\vEaDVDl.exe

Filesize
2.6MB

MD5
e523e30fa40751857488c35715ed74c4

SHA1
1e18db8760a305848f39a33ccbd1ea2654a3e551

SHA256
9ea2f9d36a5c4346a3fb203b0d08b4e395a98e849cd6d18605787c88844373b7

SHA512
960d3bc84d7e79336f35677787bf2a7d1f68f76474ccb2ec3a56b1334e075e357d5bd70c28e833bd3818101ce69dfd57bf9f1786605f612f911e880480a1e4dd

Download Submit
C:\Windows\System32\vEccKwW.exe

Filesize
2.6MB

MD5
6184a9311dc91e30fe23b46d044eaf45

SHA1
247a66e9609ec6cf21cad843862c648d0e6282e0

SHA256
5ec6a2118789e8e812b8ed73f44c108741f67c55cb7f3ad384269477525e211f

SHA512
e701bdeb3d974c1e177e6c94deec0c6dd619400852311639ececd4e1adf7253505df28db33c3ab9e80741ab059d918e775e9b52cbbbe5cb83ff1fac993cc8ab4

Download Submit
C:\Windows\System32\wiQuvoc.exe

Filesize
2.6MB

MD5
c3f0c14a34d4c1f4206aa39e7a13ab47

SHA1
4d64c2119fd4838af1e65796a440d93faea6081a

SHA256
b462e28e4fdd1cb319eb2549b9bc427852514300472c749e66db09a31cde4d46

SHA512
810ca85baf5818fad9fdd3fbd2afe0d7558864743e8e1c89dad33002717a875f7e7f139497bbc1d400235401f6871530d3639e2bdfd73a7bc9e8987db7792be6

Download Submit
C:\Windows\System32\xzPAPgM.exe

Filesize
2.6MB

MD5
4ca86950a056021a4143ee0c37ecf4c3

SHA1
b65aca47e1e868c04070c263ea93cc7558613a62

SHA256
52b1e32cd12ff4b0bb3964ebed87e836893edf69427598a53c920028b5087f6b

SHA512
7bce065dfaa196a77e8c70960326dd9d556f937bdd519b1bade75b16c66185a65196178c01f9d7ca8d1a001bbc7d94d5f878909b86260f3b53a272c077836371

Download Submit
memory/564-1854-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp

Filesize
4.0MB

Download
memory/564-1849-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp

Filesize
4.0MB

Download
memory/564-791-0x00007FF6C1810000-0x00007FF6C1C05000-memory.dmp

Filesize
4.0MB

Download
memory/756-1866-0x00007FF75FE50000-0x00007FF760245000-memory.dmp

Filesize
4.0MB

Download
memory/756-809-0x00007FF75FE50000-0x00007FF760245000-memory.dmp

Filesize
4.0MB

Download
memory/1344-17-0x00007FF66C160000-0x00007FF66C555000-memory.dmp

Filesize
4.0MB

Download
memory/1344-1765-0x00007FF66C160000-0x00007FF66C555000-memory.dmp

Filesize
4.0MB

Download
memory/1344-1852-0x00007FF66C160000-0x00007FF66C555000-memory.dmp

Filesize
4.0MB

Download
memory/1476-1858-0x00007FF721DF0000-0x00007FF7221E5000-memory.dmp

Filesize
4.0MB

Download
memory/1476-796-0x00007FF721DF0000-0x00007FF7221E5000-memory.dmp

Filesize
4.0MB

Download
memory/1584-24-0x00007FF670630000-0x00007FF670A25000-memory.dmp

Filesize
4.0MB

Download
memory/1584-1853-0x00007FF670630000-0x00007FF670A25000-memory.dmp

Filesize
4.0MB

Download
memory/1584-1848-0x00007FF670630000-0x00007FF670A25000-memory.dmp

Filesize
4.0MB

Download
memory/2472-7-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp

Filesize
4.0MB

Download
memory/2472-1851-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp

Filesize
4.0MB

Download
memory/2472-1633-0x00007FF741CB0000-0x00007FF7420A5000-memory.dmp

Filesize
4.0MB

Download
memory/2808-1872-0x00007FF7B7E00000-0x00007FF7B81F5000-memory.dmp

Filesize
4.0MB

Download
memory/2808-850-0x00007FF7B7E00000-0x00007FF7B81F5000-memory.dmp

Filesize
4.0MB

Download
memory/3264-1863-0x00007FF751E10000-0x00007FF752205000-memory.dmp

Filesize
4.0MB

Download
memory/3264-799-0x00007FF751E10000-0x00007FF752205000-memory.dmp

Filesize
4.0MB

Download
memory/3328-797-0x00007FF62BDF0000-0x00007FF62C1E5000-memory.dmp

Filesize
4.0MB

Download
memory/3328-1857-0x00007FF62BDF0000-0x00007FF62C1E5000-memory.dmp

Filesize
4.0MB

Download
memory/3348-1856-0x00007FF6DAAD0000-0x00007FF6DAEC5000-memory.dmp

Filesize
4.0MB

Download
memory/3348-792-0x00007FF6DAAD0000-0x00007FF6DAEC5000-memory.dmp

Filesize
4.0MB

Download
memory/3580-793-0x00007FF655800000-0x00007FF655BF5000-memory.dmp

Filesize
4.0MB

Download
memory/3580-1860-0x00007FF655800000-0x00007FF655BF5000-memory.dmp

Filesize
4.0MB

Download
memory/3836-795-0x00007FF727B70000-0x00007FF727F65000-memory.dmp

Filesize
4.0MB

Download
memory/3836-1861-0x00007FF727B70000-0x00007FF727F65000-memory.dmp

Filesize
4.0MB

Download
memory/4116-794-0x00007FF7CC6B0000-0x00007FF7CCAA5000-memory.dmp

Filesize
4.0MB

Download
memory/4116-1855-0x00007FF7CC6B0000-0x00007FF7CCAA5000-memory.dmp

Filesize
4.0MB

Download
memory/4496-800-0x00007FF6F7B70000-0x00007FF6F7F65000-memory.dmp

Filesize
4.0MB

Download
memory/4496-1870-0x00007FF6F7B70000-0x00007FF6F7F65000-memory.dmp

Filesize
4.0MB

Download
memory/4576-1871-0x00007FF65EE40000-0x00007FF65F235000-memory.dmp

Filesize
4.0MB

Download
memory/4576-820-0x00007FF65EE40000-0x00007FF65F235000-memory.dmp

Filesize
4.0MB

Download
memory/4612-1864-0x00007FF79F8D0000-0x00007FF79FCC5000-memory.dmp

Filesize
4.0MB

Download
memory/4612-813-0x00007FF79F8D0000-0x00007FF79FCC5000-memory.dmp

Filesize
4.0MB

Download
memory/4708-1874-0x00007FF7A74A0000-0x00007FF7A7895000-memory.dmp

Filesize
4.0MB

Download
memory/4708-833-0x00007FF7A74A0000-0x00007FF7A7895000-memory.dmp

Filesize
4.0MB

Download
memory/4748-836-0x00007FF73B240000-0x00007FF73B635000-memory.dmp

Filesize
4.0MB

Download
memory/4748-1873-0x00007FF73B240000-0x00007FF73B635000-memory.dmp

Filesize
4.0MB

Download
memory/4820-1867-0x00007FF63ADC0000-0x00007FF63B1B5000-memory.dmp

Filesize
4.0MB

Download
memory/4820-840-0x00007FF63ADC0000-0x00007FF63B1B5000-memory.dmp

Filesize
4.0MB

Download
memory/4876-1868-0x00007FF721180000-0x00007FF721575000-memory.dmp

Filesize
4.0MB

Download
memory/4876-848-0x00007FF721180000-0x00007FF721575000-memory.dmp

Filesize
4.0MB

Download
memory/4912-844-0x00007FF6CE220000-0x00007FF6CE615000-memory.dmp

Filesize
4.0MB

Download
memory/4912-1869-0x00007FF6CE220000-0x00007FF6CE615000-memory.dmp

Filesize
4.0MB

Download
memory/5092-957-0x00007FF64AAB0000-0x00007FF64AEA5000-memory.dmp

Filesize
4.0MB

Download
memory/5092-1859-0x00007FF64AAB0000-0x00007FF64AEA5000-memory.dmp

Filesize
4.0MB

Download
memory/5236-1862-0x00007FF7EDF10000-0x00007FF7EE305000-memory.dmp

Filesize
4.0MB

Download
memory/5236-798-0x00007FF7EDF10000-0x00007FF7EE305000-memory.dmp

Filesize
4.0MB

Download
memory/5828-801-0x00007FF694920000-0x00007FF694D15000-memory.dmp

Filesize
4.0MB

Download
memory/5828-1865-0x00007FF694920000-0x00007FF694D15000-memory.dmp

Filesize
4.0MB

Download
memory/6120-1850-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp

Filesize
4.0MB

Download
memory/6120-0-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp

Filesize
4.0MB

Download
memory/6120-1503-0x00007FF7E5810000-0x00007FF7E5C05000-memory.dmp

Filesize
4.0MB

Download
memory/6120-1-0x00000235AF710000-0x00000235AF720000-memory.dmp

Filesize
64KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads