xmrig | d0a476fb05cde711ae6127db9ec752b160b637a8483e32378ce3426b6f4e3fa2

Analysis

max time kernel
143s
max time network
141s
platform
windows10-2004_x64
resource
win10v2004-20250314-en
resource tags

arch:x64arch:x86image:win10v2004-20250314-enlocale:en-usos:windows10-2004-x64system
submitted
07/04/2025, 11:00

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
Size

2.7MB
MD5

a1157be57c95a75a1e9846958eecb6f2
SHA1

1aa76fa37df35cef3f9c35df0157500d27a869f7
SHA256

d0a476fb05cde711ae6127db9ec752b160b637a8483e32378ce3426b6f4e3fa2
SHA512

6a9d8f75a32caee56100128c9e98020915218deeb448323c6c5d69b408bf99f3d15d5aace5620b1279df0e68b432384d9cbddd426f40c89cadf64c3eb1d7f2d9
SSDEEP

49152:00wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjnz8DhQxTMS8TgnnpPtZR:00GnJMOWPClFdx6e0EALKWVTffZiPAcZ

Score

10^/10

xmrig miner

Malware Config

Signatures

Xmrig family
xmrig
xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral1/memory/396-0-0x00007FF606190000-0x00007FF60657C000-memory.dmp	xmrig
behavioral1/files/0x00090000000227af-5.dat	xmrig
behavioral1/files/0x00070000000242c9-14.dat	xmrig
behavioral1/memory/5192-18-0x00007FF73F190000-0x00007FF73F57C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242cb-22.dat	xmrig
behavioral1/files/0x00070000000242ca-28.dat	xmrig
behavioral1/memory/4012-31-0x00007FF6E95B0000-0x00007FF6E999C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242cd-38.dat	xmrig
behavioral1/memory/1324-43-0x00007FF709520000-0x00007FF70990C000-memory.dmp	xmrig
behavioral1/memory/2444-40-0x00007FF684F10000-0x00007FF6852FC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242cc-39.dat	xmrig
behavioral1/memory/3416-34-0x00007FF6CC7A0000-0x00007FF6CCB8C000-memory.dmp	xmrig
behavioral1/memory/5156-29-0x00007FF6A6B00000-0x00007FF6A6EEC000-memory.dmp	xmrig
behavioral1/files/0x00080000000242c8-15.dat	xmrig
behavioral1/memory/5440-12-0x00007FF649AF0000-0x00007FF649EDC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242cf-47.dat	xmrig
behavioral1/memory/3516-49-0x00007FF6D4DB0000-0x00007FF6D519C000-memory.dmp	xmrig
behavioral1/files/0x00080000000242c6-57.dat	xmrig
behavioral1/memory/4356-61-0x00007FF623D70000-0x00007FF62415C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242d5-84.dat	xmrig
behavioral1/files/0x00070000000242d4-87.dat	xmrig
behavioral1/files/0x00070000000242d9-107.dat	xmrig
behavioral1/memory/1712-112-0x00007FF7D9490000-0x00007FF7D987C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242da-123.dat	xmrig
behavioral1/memory/4812-142-0x00007FF7C1530000-0x00007FF7C191C000-memory.dmp	xmrig
behavioral1/memory/4840-154-0x00007FF774180000-0x00007FF77456C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242e2-171.dat	xmrig
behavioral1/memory/4492-184-0x00007FF7771B0000-0x00007FF77759C000-memory.dmp	xmrig
behavioral1/memory/5360-195-0x00007FF6A80A0000-0x00007FF6A848C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242e7-193.dat	xmrig
behavioral1/memory/2456-190-0x00007FF729DD0000-0x00007FF72A1BC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242e5-189.dat	xmrig
behavioral1/files/0x00070000000242e6-187.dat	xmrig
behavioral1/files/0x00070000000242e4-183.dat	xmrig
behavioral1/memory/3376-178-0x00007FF7E2EE0000-0x00007FF7E32CC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242e3-177.dat	xmrig
behavioral1/memory/1316-172-0x00007FF677810000-0x00007FF677BFC000-memory.dmp	xmrig
behavioral1/memory/2924-166-0x00007FF6958E0000-0x00007FF695CCC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242e1-165.dat	xmrig
behavioral1/memory/4620-160-0x00007FF656600000-0x00007FF6569EC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242e0-159.dat	xmrig
behavioral1/files/0x00070000000242df-153.dat	xmrig
behavioral1/memory/4552-148-0x00007FF728E60000-0x00007FF72924C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242de-147.dat	xmrig
behavioral1/files/0x00070000000242dd-141.dat	xmrig
behavioral1/memory/4696-136-0x00007FF7AF930000-0x00007FF7AFD1C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242dc-135.dat	xmrig
behavioral1/memory/4656-130-0x00007FF7F9680000-0x00007FF7F9A6C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242db-129.dat	xmrig
behavioral1/memory/4992-124-0x00007FF737920000-0x00007FF737D0C000-memory.dmp	xmrig
behavioral1/memory/4948-118-0x00007FF631420000-0x00007FF63180C000-memory.dmp	xmrig
behavioral1/memory/4160-110-0x00007FF7D8EF0000-0x00007FF7D92DC000-memory.dmp	xmrig
behavioral1/files/0x00070000000242d8-109.dat	xmrig
behavioral1/files/0x00070000000242d6-105.dat	xmrig
behavioral1/memory/3140-103-0x00007FF7ACFE0000-0x00007FF7AD3CC000-memory.dmp	xmrig
behavioral1/memory/6024-100-0x00007FF73CD60000-0x00007FF73D14C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242d7-99.dat	xmrig
behavioral1/memory/4496-88-0x00007FF76DF80000-0x00007FF76E36C000-memory.dmp	xmrig
behavioral1/memory/4792-81-0x00007FF7A4280000-0x00007FF7A466C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242d2-83.dat	xmrig
behavioral1/files/0x00070000000242d3-80.dat	xmrig
behavioral1/memory/3776-73-0x00007FF7E2840000-0x00007FF7E2C2C000-memory.dmp	xmrig
behavioral1/files/0x00070000000242d0-69.dat	xmrig
behavioral1/memory/5772-70-0x00007FF7A66C0000-0x00007FF7A6AAC000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
5440	lqHqNpG.exe
5192	DSiKvUP.exe
3416	tYQncgB.exe
5156	xSloKEF.exe
4012	aroysaD.exe
2444	kwZKVZx.exe
1324	KfldRux.exe
3516	wYwCUdI.exe
5772	RxDwHBh.exe
3776	KTKpdrA.exe
4356	YkJDPsq.exe
3828	gudJJlY.exe
4792	zLEhsBH.exe
4496	ZZkaNtO.exe
3140	dthigIE.exe
4160	vRydMAv.exe
6024	lmQQNlR.exe
1712	UwCxHuz.exe
4948	wRuZaHK.exe
4992	HrHSDAo.exe
4656	paxxoxo.exe
4696	JZewjeW.exe
4812	FLtVcpc.exe
4552	oWUldyB.exe
4840	ZHZqnIG.exe
4620	YRtEHQg.exe
2924	WGEpTtl.exe
1316	TAdEYdu.exe
3376	eqRsQeI.exe
4492	xqJxMwD.exe
2456	pBdepEF.exe
5360	BAYoLjS.exe
1304	kXBCkEM.exe
2700	BmWeXDR.exe
3284	KZUJIUM.exe
916	xAIDCFH.exe
2068	QtaYOqD.exe
748	QYyIgdK.exe
2620	ptEcPgP.exe
1004	jsdASIt.exe
4284	KhzzxUc.exe
3100	sDQRzlw.exe
3000	xnqeThy.exe
672	MdzvuIg.exe
1016	FmcDmpp.exe
5648	EvmzckN.exe
3712	AJslDjQ.exe
4164	zhhqnBK.exe
4472	yMkidOj.exe
5824	oWiSuYB.exe
5808	jRjGqzd.exe
2012	DCqIxnP.exe
5748	gJAwPwR.exe
2288	LhqpnQW.exe
5300	RjBOaxs.exe
3740	gMehXwq.exe
1512	IyZOjch.exe
5064	vZvAJPw.exe
5456	geFEPkB.exe
2268	pODjGFN.exe
464	ZHcsWRB.exe
5940	hNEJiqQ.exe
2464	bZQwJVB.exe
2676	UtRqCTy.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\XXxNUha.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\qdroreV.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\MRaTaje.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\UGaVWaT.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\OVQqfiD.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\WnzjDUv.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\JJpzdiE.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\RRhBdnS.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\JPYLgKB.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\gudiNSu.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\QPZYYge.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\YmsvTBV.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\MuQsLlE.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\uoGBBoh.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\pZbbJAv.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\ytnvJcC.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\gPrxmOJ.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\xETXFsm.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\BfHZAQj.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\QASyRoS.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\KfldRux.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\KZUJIUM.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\zhwQHXN.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\hgeXiWA.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\vqUnanR.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\IainRtW.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\EdGaZan.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\TEzcGQR.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\ZZkaNtO.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\UVIGSZl.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\KFPDisy.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\dFfTOpt.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\OzAfIod.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\jREpNtq.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\liwvKvk.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\gDruSrf.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\CsdcPpD.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\GOpztVA.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\JpJtINL.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\nRoxGKY.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\QLSpdUa.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\tUUVXSy.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\XpsOBli.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\HWaYuLT.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\DSiKvUP.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\zzjXKcu.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\OtlFVzV.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\lhKuRGW.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\pSEKGZO.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\KJrTnFx.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\NIWgNzK.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\uLMwkPi.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\wYwCUdI.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\UtRqCTy.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\ZBFzDJy.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\CCZFRlt.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\FpcjNVB.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\IUMBkgS.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\iaoMXje.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\iTyEOhj.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\USMJlXu.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\fqNhbdo.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\FdvQLAj.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
File created	C:\Windows\System32\ZAUBOPq.exe	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_WDC&PROD_WDS100T2B0A\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\27\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	16236	dwm.exe
Token: SeChangeNotifyPrivilege	16236	dwm.exe
Token: 33	16236	dwm.exe
Token: SeIncBasePriorityPrivilege	16236	dwm.exe
Token: SeShutdownPrivilege	16236	dwm.exe
Token: SeCreatePagefilePrivilege	16236	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 396 wrote to memory of 5440	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	88
PID 396 wrote to memory of 5440	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	88
PID 396 wrote to memory of 5192	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	89
PID 396 wrote to memory of 5192	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	89
PID 396 wrote to memory of 3416	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	90
PID 396 wrote to memory of 3416	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	90
PID 396 wrote to memory of 5156	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	91
PID 396 wrote to memory of 5156	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	91
PID 396 wrote to memory of 4012	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	92
PID 396 wrote to memory of 4012	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	92
PID 396 wrote to memory of 2444	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	93
PID 396 wrote to memory of 2444	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	93
PID 396 wrote to memory of 1324	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	94
PID 396 wrote to memory of 1324	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	94
PID 396 wrote to memory of 3516	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	95
PID 396 wrote to memory of 3516	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	95
PID 396 wrote to memory of 5772	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	98
PID 396 wrote to memory of 5772	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	98
PID 396 wrote to memory of 3776	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	99
PID 396 wrote to memory of 3776	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	99
PID 396 wrote to memory of 4356	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	100
PID 396 wrote to memory of 4356	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	100
PID 396 wrote to memory of 3828	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	101
PID 396 wrote to memory of 3828	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	101
PID 396 wrote to memory of 4792	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	102
PID 396 wrote to memory of 4792	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	102
PID 396 wrote to memory of 4496	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	103
PID 396 wrote to memory of 4496	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	103
PID 396 wrote to memory of 3140	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	104
PID 396 wrote to memory of 3140	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	104
PID 396 wrote to memory of 4160	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	105
PID 396 wrote to memory of 4160	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	105
PID 396 wrote to memory of 6024	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	106
PID 396 wrote to memory of 6024	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	106
PID 396 wrote to memory of 1712	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	107
PID 396 wrote to memory of 1712	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	107
PID 396 wrote to memory of 4948	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	108
PID 396 wrote to memory of 4948	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	108
PID 396 wrote to memory of 4992	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	109
PID 396 wrote to memory of 4992	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	109
PID 396 wrote to memory of 4656	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	110
PID 396 wrote to memory of 4656	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	110
PID 396 wrote to memory of 4696	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	111
PID 396 wrote to memory of 4696	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	111
PID 396 wrote to memory of 4812	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	112
PID 396 wrote to memory of 4812	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	112
PID 396 wrote to memory of 4552	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	113
PID 396 wrote to memory of 4552	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	113
PID 396 wrote to memory of 4840	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	114
PID 396 wrote to memory of 4840	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	114
PID 396 wrote to memory of 4620	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	115
PID 396 wrote to memory of 4620	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	115
PID 396 wrote to memory of 2924	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	116
PID 396 wrote to memory of 2924	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	116
PID 396 wrote to memory of 1316	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	117
PID 396 wrote to memory of 1316	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	117
PID 396 wrote to memory of 3376	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	118
PID 396 wrote to memory of 3376	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	118
PID 396 wrote to memory of 4492	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	119
PID 396 wrote to memory of 4492	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	119
PID 396 wrote to memory of 2456	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	120
PID 396 wrote to memory of 2456	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	120
PID 396 wrote to memory of 5360	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	121
PID 396 wrote to memory of 5360	396	2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe	121

C:\Users\Admin\AppData\Local\Temp\2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe
"C:\Users\Admin\AppData\Local\Temp\2025-04-07_a1157be57c95a75a1e9846958eecb6f2_black-basta_imuler_poison-ivy_xmrig.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:396
- C:\Windows\System32\lqHqNpG.exe
  C:\Windows\System32\lqHqNpG.exe
  2⤵
  - Executes dropped EXE
  PID:5440
- C:\Windows\System32\DSiKvUP.exe
  C:\Windows\System32\DSiKvUP.exe
  2⤵
  - Executes dropped EXE
  PID:5192
- C:\Windows\System32\tYQncgB.exe
  C:\Windows\System32\tYQncgB.exe
  2⤵
  - Executes dropped EXE
  PID:3416
- C:\Windows\System32\xSloKEF.exe
  C:\Windows\System32\xSloKEF.exe
  2⤵
  - Executes dropped EXE
  PID:5156
- C:\Windows\System32\aroysaD.exe
  C:\Windows\System32\aroysaD.exe
  2⤵
  - Executes dropped EXE
  PID:4012
- C:\Windows\System32\kwZKVZx.exe
  C:\Windows\System32\kwZKVZx.exe
  2⤵
  - Executes dropped EXE
  PID:2444
- C:\Windows\System32\KfldRux.exe
  C:\Windows\System32\KfldRux.exe
  2⤵
  - Executes dropped EXE
  PID:1324
- C:\Windows\System32\wYwCUdI.exe
  C:\Windows\System32\wYwCUdI.exe
  2⤵
  - Executes dropped EXE
  PID:3516
- C:\Windows\System32\RxDwHBh.exe
  C:\Windows\System32\RxDwHBh.exe
  2⤵
  - Executes dropped EXE
  PID:5772
- C:\Windows\System32\KTKpdrA.exe
  C:\Windows\System32\KTKpdrA.exe
  2⤵
  - Executes dropped EXE
  PID:3776
- C:\Windows\System32\YkJDPsq.exe
  C:\Windows\System32\YkJDPsq.exe
  2⤵
  - Executes dropped EXE
  PID:4356
- C:\Windows\System32\gudJJlY.exe
  C:\Windows\System32\gudJJlY.exe
  2⤵
  - Executes dropped EXE
  PID:3828
- C:\Windows\System32\zLEhsBH.exe
  C:\Windows\System32\zLEhsBH.exe
  2⤵
  - Executes dropped EXE
  PID:4792
- C:\Windows\System32\ZZkaNtO.exe
  C:\Windows\System32\ZZkaNtO.exe
  2⤵
  - Executes dropped EXE
  PID:4496
- C:\Windows\System32\dthigIE.exe
  C:\Windows\System32\dthigIE.exe
  2⤵
  - Executes dropped EXE
  PID:3140
- C:\Windows\System32\vRydMAv.exe
  C:\Windows\System32\vRydMAv.exe
  2⤵
  - Executes dropped EXE
  PID:4160
- C:\Windows\System32\lmQQNlR.exe
  C:\Windows\System32\lmQQNlR.exe
  2⤵
  - Executes dropped EXE
  PID:6024
- C:\Windows\System32\UwCxHuz.exe
  C:\Windows\System32\UwCxHuz.exe
  2⤵
  - Executes dropped EXE
  PID:1712
- C:\Windows\System32\wRuZaHK.exe
  C:\Windows\System32\wRuZaHK.exe
  2⤵
  - Executes dropped EXE
  PID:4948
- C:\Windows\System32\HrHSDAo.exe
  C:\Windows\System32\HrHSDAo.exe
  2⤵
  - Executes dropped EXE
  PID:4992
- C:\Windows\System32\paxxoxo.exe
  C:\Windows\System32\paxxoxo.exe
  2⤵
  - Executes dropped EXE
  PID:4656
- C:\Windows\System32\JZewjeW.exe
  C:\Windows\System32\JZewjeW.exe
  2⤵
  - Executes dropped EXE
  PID:4696
- C:\Windows\System32\FLtVcpc.exe
  C:\Windows\System32\FLtVcpc.exe
  2⤵
  - Executes dropped EXE
  PID:4812
- C:\Windows\System32\oWUldyB.exe
  C:\Windows\System32\oWUldyB.exe
  2⤵
  - Executes dropped EXE
  PID:4552
- C:\Windows\System32\ZHZqnIG.exe
  C:\Windows\System32\ZHZqnIG.exe
  2⤵
  - Executes dropped EXE
  PID:4840
- C:\Windows\System32\YRtEHQg.exe
  C:\Windows\System32\YRtEHQg.exe
  2⤵
  - Executes dropped EXE
  PID:4620
- C:\Windows\System32\WGEpTtl.exe
  C:\Windows\System32\WGEpTtl.exe
  2⤵
  - Executes dropped EXE
  PID:2924
- C:\Windows\System32\TAdEYdu.exe
  C:\Windows\System32\TAdEYdu.exe
  2⤵
  - Executes dropped EXE
  PID:1316
- C:\Windows\System32\eqRsQeI.exe
  C:\Windows\System32\eqRsQeI.exe
  2⤵
  - Executes dropped EXE
  PID:3376
- C:\Windows\System32\xqJxMwD.exe
  C:\Windows\System32\xqJxMwD.exe
  2⤵
  - Executes dropped EXE
  PID:4492
- C:\Windows\System32\pBdepEF.exe
  C:\Windows\System32\pBdepEF.exe
  2⤵
  - Executes dropped EXE
  PID:2456
- C:\Windows\System32\BAYoLjS.exe
  C:\Windows\System32\BAYoLjS.exe
  2⤵
  - Executes dropped EXE
  PID:5360
- C:\Windows\System32\kXBCkEM.exe
  C:\Windows\System32\kXBCkEM.exe
  2⤵
  - Executes dropped EXE
  PID:1304
- C:\Windows\System32\BmWeXDR.exe
  C:\Windows\System32\BmWeXDR.exe
  2⤵
  - Executes dropped EXE
  PID:2700
- C:\Windows\System32\KZUJIUM.exe
  C:\Windows\System32\KZUJIUM.exe
  2⤵
  - Executes dropped EXE
  PID:3284
- C:\Windows\System32\xAIDCFH.exe
  C:\Windows\System32\xAIDCFH.exe
  2⤵
  - Executes dropped EXE
  PID:916
- C:\Windows\System32\QtaYOqD.exe
  C:\Windows\System32\QtaYOqD.exe
  2⤵
  - Executes dropped EXE
  PID:2068
- C:\Windows\System32\QYyIgdK.exe
  C:\Windows\System32\QYyIgdK.exe
  2⤵
  - Executes dropped EXE
  PID:748
- C:\Windows\System32\ptEcPgP.exe
  C:\Windows\System32\ptEcPgP.exe
  2⤵
  - Executes dropped EXE
  PID:2620
- C:\Windows\System32\jsdASIt.exe
  C:\Windows\System32\jsdASIt.exe
  2⤵
  - Executes dropped EXE
  PID:1004
- C:\Windows\System32\KhzzxUc.exe
  C:\Windows\System32\KhzzxUc.exe
  2⤵
  - Executes dropped EXE
  PID:4284
- C:\Windows\System32\sDQRzlw.exe
  C:\Windows\System32\sDQRzlw.exe
  2⤵
  - Executes dropped EXE
  PID:3100
- C:\Windows\System32\xnqeThy.exe
  C:\Windows\System32\xnqeThy.exe
  2⤵
  - Executes dropped EXE
  PID:3000
- C:\Windows\System32\MdzvuIg.exe
  C:\Windows\System32\MdzvuIg.exe
  2⤵
  - Executes dropped EXE
  PID:672
- C:\Windows\System32\FmcDmpp.exe
  C:\Windows\System32\FmcDmpp.exe
  2⤵
  - Executes dropped EXE
  PID:1016
- C:\Windows\System32\EvmzckN.exe
  C:\Windows\System32\EvmzckN.exe
  2⤵
  - Executes dropped EXE
  PID:5648
- C:\Windows\System32\AJslDjQ.exe
  C:\Windows\System32\AJslDjQ.exe
  2⤵
  - Executes dropped EXE
  PID:3712
- C:\Windows\System32\zhhqnBK.exe
  C:\Windows\System32\zhhqnBK.exe
  2⤵
  - Executes dropped EXE
  PID:4164
- C:\Windows\System32\yMkidOj.exe
  C:\Windows\System32\yMkidOj.exe
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Windows\System32\oWiSuYB.exe
  C:\Windows\System32\oWiSuYB.exe
  2⤵
  - Executes dropped EXE
  PID:5824
- C:\Windows\System32\jRjGqzd.exe
  C:\Windows\System32\jRjGqzd.exe
  2⤵
  - Executes dropped EXE
  PID:5808
- C:\Windows\System32\DCqIxnP.exe
  C:\Windows\System32\DCqIxnP.exe
  2⤵
  - Executes dropped EXE
  PID:2012
- C:\Windows\System32\gJAwPwR.exe
  C:\Windows\System32\gJAwPwR.exe
  2⤵
  - Executes dropped EXE
  PID:5748
- C:\Windows\System32\LhqpnQW.exe
  C:\Windows\System32\LhqpnQW.exe
  2⤵
  - Executes dropped EXE
  PID:2288
- C:\Windows\System32\RjBOaxs.exe
  C:\Windows\System32\RjBOaxs.exe
  2⤵
  - Executes dropped EXE
  PID:5300
- C:\Windows\System32\gMehXwq.exe
  C:\Windows\System32\gMehXwq.exe
  2⤵
  - Executes dropped EXE
  PID:3740
- C:\Windows\System32\IyZOjch.exe
  C:\Windows\System32\IyZOjch.exe
  2⤵
  - Executes dropped EXE
  PID:1512
- C:\Windows\System32\vZvAJPw.exe
  C:\Windows\System32\vZvAJPw.exe
  2⤵
  - Executes dropped EXE
  PID:5064
- C:\Windows\System32\geFEPkB.exe
  C:\Windows\System32\geFEPkB.exe
  2⤵
  - Executes dropped EXE
  PID:5456
- C:\Windows\System32\pODjGFN.exe
  C:\Windows\System32\pODjGFN.exe
  2⤵
  - Executes dropped EXE
  PID:2268
- C:\Windows\System32\ZHcsWRB.exe
  C:\Windows\System32\ZHcsWRB.exe
  2⤵
  - Executes dropped EXE
  PID:464
- C:\Windows\System32\hNEJiqQ.exe
  C:\Windows\System32\hNEJiqQ.exe
  2⤵
  - Executes dropped EXE
  PID:5940
- C:\Windows\System32\bZQwJVB.exe
  C:\Windows\System32\bZQwJVB.exe
  2⤵
  - Executes dropped EXE
  PID:2464
- C:\Windows\System32\UtRqCTy.exe
  C:\Windows\System32\UtRqCTy.exe
  2⤵
  - Executes dropped EXE
  PID:2676
- C:\Windows\System32\FSmjSga.exe
  C:\Windows\System32\FSmjSga.exe
  2⤵
  PID:3168
- C:\Windows\System32\GOXOKpc.exe
  C:\Windows\System32\GOXOKpc.exe
  2⤵
  PID:5876
- C:\Windows\System32\VewLnTX.exe
  C:\Windows\System32\VewLnTX.exe
  2⤵
  PID:5404
- C:\Windows\System32\fyiDZqm.exe
  C:\Windows\System32\fyiDZqm.exe
  2⤵
  PID:2280
- C:\Windows\System32\bvPVKIy.exe
  C:\Windows\System32\bvPVKIy.exe
  2⤵
  PID:6052
- C:\Windows\System32\ydCxBNS.exe
  C:\Windows\System32\ydCxBNS.exe
  2⤵
  PID:3844
- C:\Windows\System32\mZtjPZb.exe
  C:\Windows\System32\mZtjPZb.exe
  2⤵
  PID:5376
- C:\Windows\System32\OPBJSww.exe
  C:\Windows\System32\OPBJSww.exe
  2⤵
  PID:1244
- C:\Windows\System32\uwMprcQ.exe
  C:\Windows\System32\uwMprcQ.exe
  2⤵
  PID:3192
- C:\Windows\System32\JzLrOmp.exe
  C:\Windows\System32\JzLrOmp.exe
  2⤵
  PID:1576
- C:\Windows\System32\JJGhJEN.exe
  C:\Windows\System32\JJGhJEN.exe
  2⤵
  PID:2044
- C:\Windows\System32\ktPrMby.exe
  C:\Windows\System32\ktPrMby.exe
  2⤵
  PID:5212
- C:\Windows\System32\GdXJrzy.exe
  C:\Windows\System32\GdXJrzy.exe
  2⤵
  PID:5544
- C:\Windows\System32\eoDrzQJ.exe
  C:\Windows\System32\eoDrzQJ.exe
  2⤵
  PID:4748
- C:\Windows\System32\CsdcPpD.exe
  C:\Windows\System32\CsdcPpD.exe
  2⤵
  PID:1872
- C:\Windows\System32\IdSwmya.exe
  C:\Windows\System32\IdSwmya.exe
  2⤵
  PID:4628
- C:\Windows\System32\cZaIqZi.exe
  C:\Windows\System32\cZaIqZi.exe
  2⤵
  PID:2704
- C:\Windows\System32\Qtgxmmm.exe
  C:\Windows\System32\Qtgxmmm.exe
  2⤵
  PID:456
- C:\Windows\System32\TmmIcjz.exe
  C:\Windows\System32\TmmIcjz.exe
  2⤵
  PID:4624
- C:\Windows\System32\PcjDcBY.exe
  C:\Windows\System32\PcjDcBY.exe
  2⤵
  PID:4864
- C:\Windows\System32\floQtmr.exe
  C:\Windows\System32\floQtmr.exe
  2⤵
  PID:2844
- C:\Windows\System32\WcHeLnb.exe
  C:\Windows\System32\WcHeLnb.exe
  2⤵
  PID:5308
- C:\Windows\System32\RRiWzGZ.exe
  C:\Windows\System32\RRiWzGZ.exe
  2⤵
  PID:2284
- C:\Windows\System32\iWfNnxr.exe
  C:\Windows\System32\iWfNnxr.exe
  2⤵
  PID:3756
- C:\Windows\System32\ZRnDUuw.exe
  C:\Windows\System32\ZRnDUuw.exe
  2⤵
  PID:3388
- C:\Windows\System32\jjrkxzk.exe
  C:\Windows\System32\jjrkxzk.exe
  2⤵
  PID:4312
- C:\Windows\System32\DOLJSaW.exe
  C:\Windows\System32\DOLJSaW.exe
  2⤵
  PID:2480
- C:\Windows\System32\fmRegmt.exe
  C:\Windows\System32\fmRegmt.exe
  2⤵
  PID:2668
- C:\Windows\System32\VuNxIFo.exe
  C:\Windows\System32\VuNxIFo.exe
  2⤵
  PID:4644
- C:\Windows\System32\WdBaWWc.exe
  C:\Windows\System32\WdBaWWc.exe
  2⤵
  PID:640
- C:\Windows\System32\OzCwziS.exe
  C:\Windows\System32\OzCwziS.exe
  2⤵
  PID:452
- C:\Windows\System32\RownIkW.exe
  C:\Windows\System32\RownIkW.exe
  2⤵
  PID:4468
- C:\Windows\System32\NqKLzLF.exe
  C:\Windows\System32\NqKLzLF.exe
  2⤵
  PID:2808
- C:\Windows\System32\qaMiQNY.exe
  C:\Windows\System32\qaMiQNY.exe
  2⤵
  PID:2848
- C:\Windows\System32\croFxIf.exe
  C:\Windows\System32\croFxIf.exe
  2⤵
  PID:2336
- C:\Windows\System32\cjUWfAk.exe
  C:\Windows\System32\cjUWfAk.exe
  2⤵
  PID:2488
- C:\Windows\System32\PTDVQwZ.exe
  C:\Windows\System32\PTDVQwZ.exe
  2⤵
  PID:264
- C:\Windows\System32\vwuLlJu.exe
  C:\Windows\System32\vwuLlJu.exe
  2⤵
  PID:3636
- C:\Windows\System32\fZQfYRb.exe
  C:\Windows\System32\fZQfYRb.exe
  2⤵
  PID:5044
- C:\Windows\System32\zzjXKcu.exe
  C:\Windows\System32\zzjXKcu.exe
  2⤵
  PID:5424
- C:\Windows\System32\xONtwua.exe
  C:\Windows\System32\xONtwua.exe
  2⤵
  PID:4340
- C:\Windows\System32\iRrFEPc.exe
  C:\Windows\System32\iRrFEPc.exe
  2⤵
  PID:2720
- C:\Windows\System32\lPAfRQc.exe
  C:\Windows\System32\lPAfRQc.exe
  2⤵
  PID:960
- C:\Windows\System32\uddHgpn.exe
  C:\Windows\System32\uddHgpn.exe
  2⤵
  PID:5096
- C:\Windows\System32\ysjTswc.exe
  C:\Windows\System32\ysjTswc.exe
  2⤵
  PID:5628
- C:\Windows\System32\DYSmpVi.exe
  C:\Windows\System32\DYSmpVi.exe
  2⤵
  PID:4732
- C:\Windows\System32\GHwjDMg.exe
  C:\Windows\System32\GHwjDMg.exe
  2⤵
  PID:4664
- C:\Windows\System32\gzHLleA.exe
  C:\Windows\System32\gzHLleA.exe
  2⤵
  PID:3392
- C:\Windows\System32\alKWEvE.exe
  C:\Windows\System32\alKWEvE.exe
  2⤵
  PID:4120
- C:\Windows\System32\JPYLgKB.exe
  C:\Windows\System32\JPYLgKB.exe
  2⤵
  PID:5868
- C:\Windows\System32\PyityMn.exe
  C:\Windows\System32\PyityMn.exe
  2⤵
  PID:5980
- C:\Windows\System32\nelsjVr.exe
  C:\Windows\System32\nelsjVr.exe
  2⤵
  PID:3992
- C:\Windows\System32\KjRCwMb.exe
  C:\Windows\System32\KjRCwMb.exe
  2⤵
  PID:1288
- C:\Windows\System32\twPjPRv.exe
  C:\Windows\System32\twPjPRv.exe
  2⤵
  PID:2976
- C:\Windows\System32\jibhbIu.exe
  C:\Windows\System32\jibhbIu.exe
  2⤵
  PID:2132
- C:\Windows\System32\AAUVbEs.exe
  C:\Windows\System32\AAUVbEs.exe
  2⤵
  PID:6080
- C:\Windows\System32\zhwQHXN.exe
  C:\Windows\System32\zhwQHXN.exe
  2⤵
  PID:1504
- C:\Windows\System32\hpTTyZv.exe
  C:\Windows\System32\hpTTyZv.exe
  2⤵
  PID:5672
- C:\Windows\System32\xsSmebp.exe
  C:\Windows\System32\xsSmebp.exe
  2⤵
  PID:4456
- C:\Windows\System32\kZTrhsq.exe
  C:\Windows\System32\kZTrhsq.exe
  2⤵
  PID:4452
- C:\Windows\System32\Kfotfgm.exe
  C:\Windows\System32\Kfotfgm.exe
  2⤵
  PID:4692
- C:\Windows\System32\htBssxb.exe
  C:\Windows\System32\htBssxb.exe
  2⤵
  PID:3084
- C:\Windows\System32\USMJlXu.exe
  C:\Windows\System32\USMJlXu.exe
  2⤵
  PID:5976
- C:\Windows\System32\XnDzIyx.exe
  C:\Windows\System32\XnDzIyx.exe
  2⤵
  PID:5580
- C:\Windows\System32\OsNMbLD.exe
  C:\Windows\System32\OsNMbLD.exe
  2⤵
  PID:1692
- C:\Windows\System32\hqkCycP.exe
  C:\Windows\System32\hqkCycP.exe
  2⤵
  PID:5700
- C:\Windows\System32\BAYEbEv.exe
  C:\Windows\System32\BAYEbEv.exe
  2⤵
  PID:4984
- C:\Windows\System32\bZZeLdO.exe
  C:\Windows\System32\bZZeLdO.exe
  2⤵
  PID:6148
- C:\Windows\System32\BPadpVb.exe
  C:\Windows\System32\BPadpVb.exe
  2⤵
  PID:6192
- C:\Windows\System32\ZBFzDJy.exe
  C:\Windows\System32\ZBFzDJy.exe
  2⤵
  PID:6212
- C:\Windows\System32\SJqXvYO.exe
  C:\Windows\System32\SJqXvYO.exe
  2⤵
  PID:6244
- C:\Windows\System32\otGoYNm.exe
  C:\Windows\System32\otGoYNm.exe
  2⤵
  PID:6276
- C:\Windows\System32\jBnhqQQ.exe
  C:\Windows\System32\jBnhqQQ.exe
  2⤵
  PID:6304
- C:\Windows\System32\yAbyOTY.exe
  C:\Windows\System32\yAbyOTY.exe
  2⤵
  PID:6340
- C:\Windows\System32\QnuAfiu.exe
  C:\Windows\System32\QnuAfiu.exe
  2⤵
  PID:6372
- C:\Windows\System32\JJaoxSv.exe
  C:\Windows\System32\JJaoxSv.exe
  2⤵
  PID:6416
- C:\Windows\System32\AUyyToH.exe
  C:\Windows\System32\AUyyToH.exe
  2⤵
  PID:6436
- C:\Windows\System32\EysvDww.exe
  C:\Windows\System32\EysvDww.exe
  2⤵
  PID:6468
- C:\Windows\System32\VpLCoWf.exe
  C:\Windows\System32\VpLCoWf.exe
  2⤵
  PID:6500
- C:\Windows\System32\XSSkAaj.exe
  C:\Windows\System32\XSSkAaj.exe
  2⤵
  PID:6532
- C:\Windows\System32\wujMKyE.exe
  C:\Windows\System32\wujMKyE.exe
  2⤵
  PID:6564
- C:\Windows\System32\OzCXKBy.exe
  C:\Windows\System32\OzCXKBy.exe
  2⤵
  PID:6596
- C:\Windows\System32\UIAQKyq.exe
  C:\Windows\System32\UIAQKyq.exe
  2⤵
  PID:6624
- C:\Windows\System32\HnAirjf.exe
  C:\Windows\System32\HnAirjf.exe
  2⤵
  PID:6656
- C:\Windows\System32\FtGwHVk.exe
  C:\Windows\System32\FtGwHVk.exe
  2⤵
  PID:6692
- C:\Windows\System32\civHtZR.exe
  C:\Windows\System32\civHtZR.exe
  2⤵
  PID:6724
- C:\Windows\System32\RpBPgjN.exe
  C:\Windows\System32\RpBPgjN.exe
  2⤵
  PID:6756
- C:\Windows\System32\gudiNSu.exe
  C:\Windows\System32\gudiNSu.exe
  2⤵
  PID:6788
- C:\Windows\System32\HekuUkJ.exe
  C:\Windows\System32\HekuUkJ.exe
  2⤵
  PID:6820
- C:\Windows\System32\JixVftx.exe
  C:\Windows\System32\JixVftx.exe
  2⤵
  PID:6852
- C:\Windows\System32\rimmRIt.exe
  C:\Windows\System32\rimmRIt.exe
  2⤵
  PID:6884
- C:\Windows\System32\Qmtfmfk.exe
  C:\Windows\System32\Qmtfmfk.exe
  2⤵
  PID:6916
- C:\Windows\System32\TGRzQRS.exe
  C:\Windows\System32\TGRzQRS.exe
  2⤵
  PID:6948
- C:\Windows\System32\ResvzgJ.exe
  C:\Windows\System32\ResvzgJ.exe
  2⤵
  PID:6980
- C:\Windows\System32\QPZYYge.exe
  C:\Windows\System32\QPZYYge.exe
  2⤵
  PID:7012
- C:\Windows\System32\DhArxTz.exe
  C:\Windows\System32\DhArxTz.exe
  2⤵
  PID:7044
- C:\Windows\System32\yvxnBTR.exe
  C:\Windows\System32\yvxnBTR.exe
  2⤵
  PID:7076
- C:\Windows\System32\aGcrLeM.exe
  C:\Windows\System32\aGcrLeM.exe
  2⤵
  PID:7108
- C:\Windows\System32\hREzvmH.exe
  C:\Windows\System32\hREzvmH.exe
  2⤵
  PID:7140
- C:\Windows\System32\TAGgpXc.exe
  C:\Windows\System32\TAGgpXc.exe
  2⤵
  PID:4976
- C:\Windows\System32\ZlLMfMY.exe
  C:\Windows\System32\ZlLMfMY.exe
  2⤵
  PID:2528
- C:\Windows\System32\ubsRsFz.exe
  C:\Windows\System32\ubsRsFz.exe
  2⤵
  PID:5840
- C:\Windows\System32\BaSNAWP.exe
  C:\Windows\System32\BaSNAWP.exe
  2⤵
  PID:1924
- C:\Windows\System32\uyIsDfh.exe
  C:\Windows\System32\uyIsDfh.exe
  2⤵
  PID:4596
- C:\Windows\System32\oYxvfDX.exe
  C:\Windows\System32\oYxvfDX.exe
  2⤵
  PID:5676
- C:\Windows\System32\ugdPZjl.exe
  C:\Windows\System32\ugdPZjl.exe
  2⤵
  PID:6264
- C:\Windows\System32\grfwPJr.exe
  C:\Windows\System32\grfwPJr.exe
  2⤵
  PID:6328
- C:\Windows\System32\OXaSJmi.exe
  C:\Windows\System32\OXaSJmi.exe
  2⤵
  PID:6384
- C:\Windows\System32\JjllyqZ.exe
  C:\Windows\System32\JjllyqZ.exe
  2⤵
  PID:6448
- C:\Windows\System32\UCkAYPz.exe
  C:\Windows\System32\UCkAYPz.exe
  2⤵
  PID:6512
- C:\Windows\System32\YTlZpxr.exe
  C:\Windows\System32\YTlZpxr.exe
  2⤵
  PID:3288
- C:\Windows\System32\fqNhbdo.exe
  C:\Windows\System32\fqNhbdo.exe
  2⤵
  PID:6604
- C:\Windows\System32\OtlFVzV.exe
  C:\Windows\System32\OtlFVzV.exe
  2⤵
  PID:6672
- C:\Windows\System32\cAqdyWu.exe
  C:\Windows\System32\cAqdyWu.exe
  2⤵
  PID:6748
- C:\Windows\System32\VjlCKkr.exe
  C:\Windows\System32\VjlCKkr.exe
  2⤵
  PID:6800
- C:\Windows\System32\szJnkES.exe
  C:\Windows\System32\szJnkES.exe
  2⤵
  PID:6876
- C:\Windows\System32\nBhpuaz.exe
  C:\Windows\System32\nBhpuaz.exe
  2⤵
  PID:6928
- C:\Windows\System32\LphUDeQ.exe
  C:\Windows\System32\LphUDeQ.exe
  2⤵
  PID:6960
- C:\Windows\System32\KfLfMfU.exe
  C:\Windows\System32\KfLfMfU.exe
  2⤵
  PID:7032
- C:\Windows\System32\mgubzOx.exe
  C:\Windows\System32\mgubzOx.exe
  2⤵
  PID:3808
- C:\Windows\System32\PzNRSTI.exe
  C:\Windows\System32\PzNRSTI.exe
  2⤵
  PID:7120
- C:\Windows\System32\SCLPRib.exe
  C:\Windows\System32\SCLPRib.exe
  2⤵
  PID:4896
- C:\Windows\System32\VGWedpu.exe
  C:\Windows\System32\VGWedpu.exe
  2⤵
  PID:4772
- C:\Windows\System32\ragxHTT.exe
  C:\Windows\System32\ragxHTT.exe
  2⤵
  PID:2184
- C:\Windows\System32\QvPgWat.exe
  C:\Windows\System32\QvPgWat.exe
  2⤵
  PID:6236
- C:\Windows\System32\xTkywFa.exe
  C:\Windows\System32\xTkywFa.exe
  2⤵
  PID:428
- C:\Windows\System32\Chmhfia.exe
  C:\Windows\System32\Chmhfia.exe
  2⤵
  PID:6444
- C:\Windows\System32\xCEWBcB.exe
  C:\Windows\System32\xCEWBcB.exe
  2⤵
  PID:6524
- C:\Windows\System32\HcfcyHr.exe
  C:\Windows\System32\HcfcyHr.exe
  2⤵
  PID:6588
- C:\Windows\System32\CGFgDWw.exe
  C:\Windows\System32\CGFgDWw.exe
  2⤵
  PID:6684
- C:\Windows\System32\fqIurLQ.exe
  C:\Windows\System32\fqIurLQ.exe
  2⤵
  PID:4944
- C:\Windows\System32\iFaELFa.exe
  C:\Windows\System32\iFaELFa.exe
  2⤵
  PID:6812
- C:\Windows\System32\fLkKAYt.exe
  C:\Windows\System32\fLkKAYt.exe
  2⤵
  PID:6892
- C:\Windows\System32\EzqVIuD.exe
  C:\Windows\System32\EzqVIuD.exe
  2⤵
  PID:4512
- C:\Windows\System32\aEZHbjD.exe
  C:\Windows\System32\aEZHbjD.exe
  2⤵
  PID:7020
- C:\Windows\System32\wQbVzUe.exe
  C:\Windows\System32\wQbVzUe.exe
  2⤵
  PID:4460
- C:\Windows\System32\FdvQLAj.exe
  C:\Windows\System32\FdvQLAj.exe
  2⤵
  PID:4524
- C:\Windows\System32\qobuAeY.exe
  C:\Windows\System32\qobuAeY.exe
  2⤵
  PID:4740
- C:\Windows\System32\uaqMyuE.exe
  C:\Windows\System32\uaqMyuE.exe
  2⤵
  PID:6348
- C:\Windows\System32\XkPFqZs.exe
  C:\Windows\System32\XkPFqZs.exe
  2⤵
  PID:4676
- C:\Windows\System32\xPQMQnk.exe
  C:\Windows\System32\xPQMQnk.exe
  2⤵
  PID:1540
- C:\Windows\System32\zuTPRYK.exe
  C:\Windows\System32\zuTPRYK.exe
  2⤵
  PID:6860
- C:\Windows\System32\YRDbMHm.exe
  C:\Windows\System32\YRDbMHm.exe
  2⤵
  PID:1904
- C:\Windows\System32\CChRTUy.exe
  C:\Windows\System32\CChRTUy.exe
  2⤵
  PID:4364
- C:\Windows\System32\scpbBWY.exe
  C:\Windows\System32\scpbBWY.exe
  2⤵
  PID:4584
- C:\Windows\System32\vwAGDKR.exe
  C:\Windows\System32\vwAGDKR.exe
  2⤵
  PID:3704
- C:\Windows\System32\zBHKMLv.exe
  C:\Windows\System32\zBHKMLv.exe
  2⤵
  PID:1528
- C:\Windows\System32\okjxhuS.exe
  C:\Windows\System32\okjxhuS.exe
  2⤵
  PID:2004
- C:\Windows\System32\ZBZGJDS.exe
  C:\Windows\System32\ZBZGJDS.exe
  2⤵
  PID:1592
- C:\Windows\System32\qvAcVuO.exe
  C:\Windows\System32\qvAcVuO.exe
  2⤵
  PID:5916
- C:\Windows\System32\aTJqEMo.exe
  C:\Windows\System32\aTJqEMo.exe
  2⤵
  PID:1668
- C:\Windows\System32\veXsgEP.exe
  C:\Windows\System32\veXsgEP.exe
  2⤵
  PID:3356
- C:\Windows\System32\ANWhqNa.exe
  C:\Windows\System32\ANWhqNa.exe
  2⤵
  PID:5372
- C:\Windows\System32\NFnApww.exe
  C:\Windows\System32\NFnApww.exe
  2⤵
  PID:6992
- C:\Windows\System32\myMwNRp.exe
  C:\Windows\System32\myMwNRp.exe
  2⤵
  PID:7096
- C:\Windows\System32\OJAznwz.exe
  C:\Windows\System32\OJAznwz.exe
  2⤵
  PID:2896
- C:\Windows\System32\TpwHNft.exe
  C:\Windows\System32\TpwHNft.exe
  2⤵
  PID:6288
- C:\Windows\System32\TdUWmxR.exe
  C:\Windows\System32\TdUWmxR.exe
  2⤵
  PID:5320
- C:\Windows\System32\KZRgozO.exe
  C:\Windows\System32\KZRgozO.exe
  2⤵
  PID:3212
- C:\Windows\System32\EhkYszG.exe
  C:\Windows\System32\EhkYszG.exe
  2⤵
  PID:1124
- C:\Windows\System32\nbRalax.exe
  C:\Windows\System32\nbRalax.exe
  2⤵
  PID:5660
- C:\Windows\System32\YylRawB.exe
  C:\Windows\System32\YylRawB.exe
  2⤵
  PID:6408
- C:\Windows\System32\gPrxmOJ.exe
  C:\Windows\System32\gPrxmOJ.exe
  2⤵
  PID:7148
- C:\Windows\System32\vfZRXOM.exe
  C:\Windows\System32\vfZRXOM.exe
  2⤵
  PID:4832
- C:\Windows\System32\WnMPXGh.exe
  C:\Windows\System32\WnMPXGh.exe
  2⤵
  PID:1876
- C:\Windows\System32\hwnifCa.exe
  C:\Windows\System32\hwnifCa.exe
  2⤵
  PID:4280
- C:\Windows\System32\AayCfPP.exe
  C:\Windows\System32\AayCfPP.exe
  2⤵
  PID:7024
- C:\Windows\System32\rthFADZ.exe
  C:\Windows\System32\rthFADZ.exe
  2⤵
  PID:3380
- C:\Windows\System32\gYiLkBI.exe
  C:\Windows\System32\gYiLkBI.exe
  2⤵
  PID:5148
- C:\Windows\System32\FeGNbxw.exe
  C:\Windows\System32\FeGNbxw.exe
  2⤵
  PID:7172
- C:\Windows\System32\uvtSepk.exe
  C:\Windows\System32\uvtSepk.exe
  2⤵
  PID:7196
- C:\Windows\System32\FqYQQTd.exe
  C:\Windows\System32\FqYQQTd.exe
  2⤵
  PID:7212
- C:\Windows\System32\jGbjxCo.exe
  C:\Windows\System32\jGbjxCo.exe
  2⤵
  PID:7256
- C:\Windows\System32\JXnJqpj.exe
  C:\Windows\System32\JXnJqpj.exe
  2⤵
  PID:7308
- C:\Windows\System32\gSXdCDK.exe
  C:\Windows\System32\gSXdCDK.exe
  2⤵
  PID:7340
- C:\Windows\System32\UUvBHft.exe
  C:\Windows\System32\UUvBHft.exe
  2⤵
  PID:7376
- C:\Windows\System32\frGYNgS.exe
  C:\Windows\System32\frGYNgS.exe
  2⤵
  PID:7404
- C:\Windows\System32\eyjtJwx.exe
  C:\Windows\System32\eyjtJwx.exe
  2⤵
  PID:7420
- C:\Windows\System32\qdroreV.exe
  C:\Windows\System32\qdroreV.exe
  2⤵
  PID:7452
- C:\Windows\System32\tvndDqJ.exe
  C:\Windows\System32\tvndDqJ.exe
  2⤵
  PID:7516
- C:\Windows\System32\nDhcFLU.exe
  C:\Windows\System32\nDhcFLU.exe
  2⤵
  PID:7548
- C:\Windows\System32\yQNjVEx.exe
  C:\Windows\System32\yQNjVEx.exe
  2⤵
  PID:7576
- C:\Windows\System32\VCYYXmS.exe
  C:\Windows\System32\VCYYXmS.exe
  2⤵
  PID:7612
- C:\Windows\System32\TkUWkSS.exe
  C:\Windows\System32\TkUWkSS.exe
  2⤵
  PID:7632
- C:\Windows\System32\TjMabjb.exe
  C:\Windows\System32\TjMabjb.exe
  2⤵
  PID:7660
- C:\Windows\System32\uiqUMAM.exe
  C:\Windows\System32\uiqUMAM.exe
  2⤵
  PID:7692
- C:\Windows\System32\rUaPeJC.exe
  C:\Windows\System32\rUaPeJC.exe
  2⤵
  PID:7716
- C:\Windows\System32\fyknzSc.exe
  C:\Windows\System32\fyknzSc.exe
  2⤵
  PID:7756
- C:\Windows\System32\eSawBhF.exe
  C:\Windows\System32\eSawBhF.exe
  2⤵
  PID:7788
- C:\Windows\System32\bTtrOFk.exe
  C:\Windows\System32\bTtrOFk.exe
  2⤵
  PID:7820
- C:\Windows\System32\ASloXgK.exe
  C:\Windows\System32\ASloXgK.exe
  2⤵
  PID:7868
- C:\Windows\System32\lAidkEW.exe
  C:\Windows\System32\lAidkEW.exe
  2⤵
  PID:7888
- C:\Windows\System32\pniDjyO.exe
  C:\Windows\System32\pniDjyO.exe
  2⤵
  PID:7916
- C:\Windows\System32\ybFiAZv.exe
  C:\Windows\System32\ybFiAZv.exe
  2⤵
  PID:7948
- C:\Windows\System32\EdjNUUj.exe
  C:\Windows\System32\EdjNUUj.exe
  2⤵
  PID:7992
- C:\Windows\System32\rrUJiUK.exe
  C:\Windows\System32\rrUJiUK.exe
  2⤵
  PID:8028
- C:\Windows\System32\PnSAEdg.exe
  C:\Windows\System32\PnSAEdg.exe
  2⤵
  PID:8052
- C:\Windows\System32\sigVQGS.exe
  C:\Windows\System32\sigVQGS.exe
  2⤵
  PID:8076
- C:\Windows\System32\XQaOACt.exe
  C:\Windows\System32\XQaOACt.exe
  2⤵
  PID:8116
- C:\Windows\System32\rrcbyKD.exe
  C:\Windows\System32\rrcbyKD.exe
  2⤵
  PID:8140
- C:\Windows\System32\XKyicEu.exe
  C:\Windows\System32\XKyicEu.exe
  2⤵
  PID:8168
- C:\Windows\System32\MRaTaje.exe
  C:\Windows\System32\MRaTaje.exe
  2⤵
  PID:8188
- C:\Windows\System32\zwGhRcA.exe
  C:\Windows\System32\zwGhRcA.exe
  2⤵
  PID:2992
- C:\Windows\System32\Jlysssd.exe
  C:\Windows\System32\Jlysssd.exe
  2⤵
  PID:4060
- C:\Windows\System32\wBaHRYw.exe
  C:\Windows\System32\wBaHRYw.exe
  2⤵
  PID:7288
- C:\Windows\System32\CDfqPDM.exe
  C:\Windows\System32\CDfqPDM.exe
  2⤵
  PID:7388
- C:\Windows\System32\zXNTuMU.exe
  C:\Windows\System32\zXNTuMU.exe
  2⤵
  PID:7364
- C:\Windows\System32\vvNKjFS.exe
  C:\Windows\System32\vvNKjFS.exe
  2⤵
  PID:7444
- C:\Windows\System32\eBUcKzR.exe
  C:\Windows\System32\eBUcKzR.exe
  2⤵
  PID:7492
- C:\Windows\System32\aphmFCh.exe
  C:\Windows\System32\aphmFCh.exe
  2⤵
  PID:7540
- C:\Windows\System32\CjlcbRd.exe
  C:\Windows\System32\CjlcbRd.exe
  2⤵
  PID:7676
- C:\Windows\System32\GrEiFAh.exe
  C:\Windows\System32\GrEiFAh.exe
  2⤵
  PID:7700
- C:\Windows\System32\wOnUcyb.exe
  C:\Windows\System32\wOnUcyb.exe
  2⤵
  PID:7784
- C:\Windows\System32\RBnXVwi.exe
  C:\Windows\System32\RBnXVwi.exe
  2⤵
  PID:7840
- C:\Windows\System32\TLbRWVs.exe
  C:\Windows\System32\TLbRWVs.exe
  2⤵
  PID:7856
- C:\Windows\System32\WGMUwhm.exe
  C:\Windows\System32\WGMUwhm.exe
  2⤵
  PID:8016
- C:\Windows\System32\batvnbf.exe
  C:\Windows\System32\batvnbf.exe
  2⤵
  PID:8072
- C:\Windows\System32\YntvQiU.exe
  C:\Windows\System32\YntvQiU.exe
  2⤵
  PID:8112
- C:\Windows\System32\faOPagU.exe
  C:\Windows\System32\faOPagU.exe
  2⤵
  PID:8176
- C:\Windows\System32\UVIGSZl.exe
  C:\Windows\System32\UVIGSZl.exe
  2⤵
  PID:7272
- C:\Windows\System32\KFPDisy.exe
  C:\Windows\System32\KFPDisy.exe
  2⤵
  PID:7384
- C:\Windows\System32\PmFVgbl.exe
  C:\Windows\System32\PmFVgbl.exe
  2⤵
  PID:7608
- C:\Windows\System32\dFfTOpt.exe
  C:\Windows\System32\dFfTOpt.exe
  2⤵
  PID:7656
- C:\Windows\System32\MSHWPmS.exe
  C:\Windows\System32\MSHWPmS.exe
  2⤵
  PID:7728
- C:\Windows\System32\SYXJsek.exe
  C:\Windows\System32\SYXJsek.exe
  2⤵
  PID:7912
- C:\Windows\System32\dfxMJtd.exe
  C:\Windows\System32\dfxMJtd.exe
  2⤵
  PID:7944
- C:\Windows\System32\CCCVOJN.exe
  C:\Windows\System32\CCCVOJN.exe
  2⤵
  PID:7224
- C:\Windows\System32\oBCGnRA.exe
  C:\Windows\System32\oBCGnRA.exe
  2⤵
  PID:7504
- C:\Windows\System32\eqMoTaX.exe
  C:\Windows\System32\eqMoTaX.exe
  2⤵
  PID:7496
- C:\Windows\System32\huJiEDG.exe
  C:\Windows\System32\huJiEDG.exe
  2⤵
  PID:8164
- C:\Windows\System32\wkvjkcK.exe
  C:\Windows\System32\wkvjkcK.exe
  2⤵
  PID:7188
- C:\Windows\System32\bwlEJtH.exe
  C:\Windows\System32\bwlEJtH.exe
  2⤵
  PID:7876
- C:\Windows\System32\tHVjTnp.exe
  C:\Windows\System32\tHVjTnp.exe
  2⤵
  PID:8124
- C:\Windows\System32\SVbhJpd.exe
  C:\Windows\System32\SVbhJpd.exe
  2⤵
  PID:8196
- C:\Windows\System32\Cvyuuqf.exe
  C:\Windows\System32\Cvyuuqf.exe
  2⤵
  PID:8228
- C:\Windows\System32\KITNOgn.exe
  C:\Windows\System32\KITNOgn.exe
  2⤵
  PID:8248
- C:\Windows\System32\EhVHAws.exe
  C:\Windows\System32\EhVHAws.exe
  2⤵
  PID:8288
- C:\Windows\System32\OqcdjfS.exe
  C:\Windows\System32\OqcdjfS.exe
  2⤵
  PID:8320
- C:\Windows\System32\bnEBSwY.exe
  C:\Windows\System32\bnEBSwY.exe
  2⤵
  PID:8340
- C:\Windows\System32\BDgRHWw.exe
  C:\Windows\System32\BDgRHWw.exe
  2⤵
  PID:8372
- C:\Windows\System32\kTQFgYi.exe
  C:\Windows\System32\kTQFgYi.exe
  2⤵
  PID:8412
- C:\Windows\System32\rbspBgO.exe
  C:\Windows\System32\rbspBgO.exe
  2⤵
  PID:8448
- C:\Windows\System32\GOpztVA.exe
  C:\Windows\System32\GOpztVA.exe
  2⤵
  PID:8464
- C:\Windows\System32\nJKbAoX.exe
  C:\Windows\System32\nJKbAoX.exe
  2⤵
  PID:8504
- C:\Windows\System32\JpJtINL.exe
  C:\Windows\System32\JpJtINL.exe
  2⤵
  PID:8532
- C:\Windows\System32\lhKuRGW.exe
  C:\Windows\System32\lhKuRGW.exe
  2⤵
  PID:8560
- C:\Windows\System32\xvbdpBX.exe
  C:\Windows\System32\xvbdpBX.exe
  2⤵
  PID:8604
- C:\Windows\System32\DAlCyAK.exe
  C:\Windows\System32\DAlCyAK.exe
  2⤵
  PID:8636
- C:\Windows\System32\cZkxgbu.exe
  C:\Windows\System32\cZkxgbu.exe
  2⤵
  PID:8652
- C:\Windows\System32\wPCizFH.exe
  C:\Windows\System32\wPCizFH.exe
  2⤵
  PID:8688
- C:\Windows\System32\UGaVWaT.exe
  C:\Windows\System32\UGaVWaT.exe
  2⤵
  PID:8720
- C:\Windows\System32\QjBYmdA.exe
  C:\Windows\System32\QjBYmdA.exe
  2⤵
  PID:8776
- C:\Windows\System32\iqxlwfz.exe
  C:\Windows\System32\iqxlwfz.exe
  2⤵
  PID:8804
- C:\Windows\System32\YmsvTBV.exe
  C:\Windows\System32\YmsvTBV.exe
  2⤵
  PID:8836
- C:\Windows\System32\fNVjjKN.exe
  C:\Windows\System32\fNVjjKN.exe
  2⤵
  PID:8856
- C:\Windows\System32\QrHOTmu.exe
  C:\Windows\System32\QrHOTmu.exe
  2⤵
  PID:8912
- C:\Windows\System32\wrvVsGy.exe
  C:\Windows\System32\wrvVsGy.exe
  2⤵
  PID:8932
- C:\Windows\System32\cDdCSXn.exe
  C:\Windows\System32\cDdCSXn.exe
  2⤵
  PID:8948
- C:\Windows\System32\LviRukn.exe
  C:\Windows\System32\LviRukn.exe
  2⤵
  PID:8968
- C:\Windows\System32\EocZjDt.exe
  C:\Windows\System32\EocZjDt.exe
  2⤵
  PID:9000
- C:\Windows\System32\OzAfIod.exe
  C:\Windows\System32\OzAfIod.exe
  2⤵
  PID:9032
- C:\Windows\System32\ZAUBOPq.exe
  C:\Windows\System32\ZAUBOPq.exe
  2⤵
  PID:9072
- C:\Windows\System32\BngsNJO.exe
  C:\Windows\System32\BngsNJO.exe
  2⤵
  PID:9096
- C:\Windows\System32\pSEKGZO.exe
  C:\Windows\System32\pSEKGZO.exe
  2⤵
  PID:9120
- C:\Windows\System32\SOhLqow.exe
  C:\Windows\System32\SOhLqow.exe
  2⤵
  PID:9188
- C:\Windows\System32\ZittJWa.exe
  C:\Windows\System32\ZittJWa.exe
  2⤵
  PID:8156
- C:\Windows\System32\GCqnZNd.exe
  C:\Windows\System32\GCqnZNd.exe
  2⤵
  PID:8060
- C:\Windows\System32\swCrSXt.exe
  C:\Windows\System32\swCrSXt.exe
  2⤵
  PID:8312
- C:\Windows\System32\uMjnTXp.exe
  C:\Windows\System32\uMjnTXp.exe
  2⤵
  PID:8352
- C:\Windows\System32\GzlYeHu.exe
  C:\Windows\System32\GzlYeHu.exe
  2⤵
  PID:8348
- C:\Windows\System32\UaYmneK.exe
  C:\Windows\System32\UaYmneK.exe
  2⤵
  PID:8460
- C:\Windows\System32\mIDizTP.exe
  C:\Windows\System32\mIDizTP.exe
  2⤵
  PID:8528
- C:\Windows\System32\zpOtqoB.exe
  C:\Windows\System32\zpOtqoB.exe
  2⤵
  PID:8584
- C:\Windows\System32\kDZvLfK.exe
  C:\Windows\System32\kDZvLfK.exe
  2⤵
  PID:8648
- C:\Windows\System32\DsyMbSd.exe
  C:\Windows\System32\DsyMbSd.exe
  2⤵
  PID:8684
- C:\Windows\System32\AMaHsiT.exe
  C:\Windows\System32\AMaHsiT.exe
  2⤵
  PID:8784
- C:\Windows\System32\FSIMYwo.exe
  C:\Windows\System32\FSIMYwo.exe
  2⤵
  PID:8832
- C:\Windows\System32\NtzePZr.exe
  C:\Windows\System32\NtzePZr.exe
  2⤵
  PID:8944
- C:\Windows\System32\tBHXruL.exe
  C:\Windows\System32\tBHXruL.exe
  2⤵
  PID:8960
- C:\Windows\System32\byNsgES.exe
  C:\Windows\System32\byNsgES.exe
  2⤵
  PID:9016
- C:\Windows\System32\SVqcWBj.exe
  C:\Windows\System32\SVqcWBj.exe
  2⤵
  PID:9152
- C:\Windows\System32\iOikcqu.exe
  C:\Windows\System32\iOikcqu.exe
  2⤵
  PID:9108
- C:\Windows\System32\PvPwrFE.exe
  C:\Windows\System32\PvPwrFE.exe
  2⤵
  PID:8272
- C:\Windows\System32\fYmVdCX.exe
  C:\Windows\System32\fYmVdCX.exe
  2⤵
  PID:8400
- C:\Windows\System32\rJlpoCV.exe
  C:\Windows\System32\rJlpoCV.exe
  2⤵
  PID:8440
- C:\Windows\System32\TlJeQlk.exe
  C:\Windows\System32\TlJeQlk.exe
  2⤵
  PID:8704
- C:\Windows\System32\cfPVabU.exe
  C:\Windows\System32\cfPVabU.exe
  2⤵
  PID:8676
- C:\Windows\System32\WjVBeft.exe
  C:\Windows\System32\WjVBeft.exe
  2⤵
  PID:8672
- C:\Windows\System32\VMGOqeb.exe
  C:\Windows\System32\VMGOqeb.exe
  2⤵
  PID:8208
- C:\Windows\System32\lzpdSEe.exe
  C:\Windows\System32\lzpdSEe.exe
  2⤵
  PID:9132
- C:\Windows\System32\nppOuJa.exe
  C:\Windows\System32\nppOuJa.exe
  2⤵
  PID:9156
- C:\Windows\System32\ZcdheJP.exe
  C:\Windows\System32\ZcdheJP.exe
  2⤵
  PID:8728
- C:\Windows\System32\McbegYH.exe
  C:\Windows\System32\McbegYH.exe
  2⤵
  PID:8844
- C:\Windows\System32\yDjWjft.exe
  C:\Windows\System32\yDjWjft.exe
  2⤵
  PID:8276
- C:\Windows\System32\cTimUht.exe
  C:\Windows\System32\cTimUht.exe
  2⤵
  PID:8980
- C:\Windows\System32\uvRUYiv.exe
  C:\Windows\System32\uvRUYiv.exe
  2⤵
  PID:8336
- C:\Windows\System32\SLuiJtt.exe
  C:\Windows\System32\SLuiJtt.exe
  2⤵
  PID:9056
- C:\Windows\System32\DUcOgDw.exe
  C:\Windows\System32\DUcOgDw.exe
  2⤵
  PID:9248
- C:\Windows\System32\QYwnaVD.exe
  C:\Windows\System32\QYwnaVD.exe
  2⤵
  PID:9268
- C:\Windows\System32\Lpkpflx.exe
  C:\Windows\System32\Lpkpflx.exe
  2⤵
  PID:9284
- C:\Windows\System32\DsaMgEi.exe
  C:\Windows\System32\DsaMgEi.exe
  2⤵
  PID:9316
- C:\Windows\System32\ULvZGxa.exe
  C:\Windows\System32\ULvZGxa.exe
  2⤵
  PID:9396
- C:\Windows\System32\IainRtW.exe
  C:\Windows\System32\IainRtW.exe
  2⤵
  PID:9412
- C:\Windows\System32\jywDLcE.exe
  C:\Windows\System32\jywDLcE.exe
  2⤵
  PID:9444
- C:\Windows\System32\jREpNtq.exe
  C:\Windows\System32\jREpNtq.exe
  2⤵
  PID:9468
- C:\Windows\System32\SJtPdms.exe
  C:\Windows\System32\SJtPdms.exe
  2⤵
  PID:9492
- C:\Windows\System32\EIefXvM.exe
  C:\Windows\System32\EIefXvM.exe
  2⤵
  PID:9528
- C:\Windows\System32\pWrPVnd.exe
  C:\Windows\System32\pWrPVnd.exe
  2⤵
  PID:9556
- C:\Windows\System32\dUBcwyD.exe
  C:\Windows\System32\dUBcwyD.exe
  2⤵
  PID:9580
- C:\Windows\System32\lhdMhnm.exe
  C:\Windows\System32\lhdMhnm.exe
  2⤵
  PID:9628
- C:\Windows\System32\liHopkL.exe
  C:\Windows\System32\liHopkL.exe
  2⤵
  PID:9644
- C:\Windows\System32\ikyTNwT.exe
  C:\Windows\System32\ikyTNwT.exe
  2⤵
  PID:9700
- C:\Windows\System32\dxuIezI.exe
  C:\Windows\System32\dxuIezI.exe
  2⤵
  PID:9716
- C:\Windows\System32\RswZfwE.exe
  C:\Windows\System32\RswZfwE.exe
  2⤵
  PID:9748
- C:\Windows\System32\XxxUIyG.exe
  C:\Windows\System32\XxxUIyG.exe
  2⤵
  PID:9764
- C:\Windows\System32\VPLQjks.exe
  C:\Windows\System32\VPLQjks.exe
  2⤵
  PID:9800
- C:\Windows\System32\BfvbxWa.exe
  C:\Windows\System32\BfvbxWa.exe
  2⤵
  PID:9840
- C:\Windows\System32\faEGHZy.exe
  C:\Windows\System32\faEGHZy.exe
  2⤵
  PID:9888
- C:\Windows\System32\DroUdhI.exe
  C:\Windows\System32\DroUdhI.exe
  2⤵
  PID:9908
- C:\Windows\System32\Cibkjab.exe
  C:\Windows\System32\Cibkjab.exe
  2⤵
  PID:9944
- C:\Windows\System32\biRSDuU.exe
  C:\Windows\System32\biRSDuU.exe
  2⤵
  PID:9984
- C:\Windows\System32\VkYbQzh.exe
  C:\Windows\System32\VkYbQzh.exe
  2⤵
  PID:10008
- C:\Windows\System32\ZKYbspF.exe
  C:\Windows\System32\ZKYbspF.exe
  2⤵
  PID:10048
- C:\Windows\System32\pfVILjw.exe
  C:\Windows\System32\pfVILjw.exe
  2⤵
  PID:10068
- C:\Windows\System32\bcBMxtE.exe
  C:\Windows\System32\bcBMxtE.exe
  2⤵
  PID:10112
- C:\Windows\System32\mkOEngA.exe
  C:\Windows\System32\mkOEngA.exe
  2⤵
  PID:10136
- C:\Windows\System32\IYYhsgu.exe
  C:\Windows\System32\IYYhsgu.exe
  2⤵
  PID:10180
- C:\Windows\System32\RqcvObW.exe
  C:\Windows\System32\RqcvObW.exe
  2⤵
  PID:10196
- C:\Windows\System32\mQHrIkC.exe
  C:\Windows\System32\mQHrIkC.exe
  2⤵
  PID:9212
- C:\Windows\System32\YjgwoEH.exe
  C:\Windows\System32\YjgwoEH.exe
  2⤵
  PID:8552
- C:\Windows\System32\kJFqijg.exe
  C:\Windows\System32\kJFqijg.exe
  2⤵
  PID:9332
- C:\Windows\System32\nRoxGKY.exe
  C:\Windows\System32\nRoxGKY.exe
  2⤵
  PID:9352
- C:\Windows\System32\WMoEVwQ.exe
  C:\Windows\System32\WMoEVwQ.exe
  2⤵
  PID:9476
- C:\Windows\System32\yxNtdgL.exe
  C:\Windows\System32\yxNtdgL.exe
  2⤵
  PID:9548
- C:\Windows\System32\FItwvLE.exe
  C:\Windows\System32\FItwvLE.exe
  2⤵
  PID:9620
- C:\Windows\System32\YtuuwcP.exe
  C:\Windows\System32\YtuuwcP.exe
  2⤵
  PID:9664
- C:\Windows\System32\yCctttp.exe
  C:\Windows\System32\yCctttp.exe
  2⤵
  PID:9740
- C:\Windows\System32\hVOJhWt.exe
  C:\Windows\System32\hVOJhWt.exe
  2⤵
  PID:9852
- C:\Windows\System32\uGEgENC.exe
  C:\Windows\System32\uGEgENC.exe
  2⤵
  PID:9924
- C:\Windows\System32\PvyriFd.exe
  C:\Windows\System32\PvyriFd.exe
  2⤵
  PID:10016
- C:\Windows\System32\FSOdcMD.exe
  C:\Windows\System32\FSOdcMD.exe
  2⤵
  PID:10036
- C:\Windows\System32\RstLPHC.exe
  C:\Windows\System32\RstLPHC.exe
  2⤵
  PID:10104
- C:\Windows\System32\suwMLnJ.exe
  C:\Windows\System32\suwMLnJ.exe
  2⤵
  PID:10060
- C:\Windows\System32\TWeadmY.exe
  C:\Windows\System32\TWeadmY.exe
  2⤵
  PID:10204
- C:\Windows\System32\SGFssET.exe
  C:\Windows\System32\SGFssET.exe
  2⤵
  PID:10228
- C:\Windows\System32\SBmVNgm.exe
  C:\Windows\System32\SBmVNgm.exe
  2⤵
  PID:9228
- C:\Windows\System32\avMFJYl.exe
  C:\Windows\System32\avMFJYl.exe
  2⤵
  PID:9244
- C:\Windows\System32\DchChLx.exe
  C:\Windows\System32\DchChLx.exe
  2⤵
  PID:9460
- C:\Windows\System32\jmDjTbV.exe
  C:\Windows\System32\jmDjTbV.exe
  2⤵
  PID:9608
- C:\Windows\System32\ALSDXLT.exe
  C:\Windows\System32\ALSDXLT.exe
  2⤵
  PID:1596
- C:\Windows\System32\QQMSWaH.exe
  C:\Windows\System32\QQMSWaH.exe
  2⤵
  PID:9728
- C:\Windows\System32\zcICqXg.exe
  C:\Windows\System32\zcICqXg.exe
  2⤵
  PID:9900
- C:\Windows\System32\waELeGy.exe
  C:\Windows\System32\waELeGy.exe
  2⤵
  PID:10144
- C:\Windows\System32\XgYySdo.exe
  C:\Windows\System32\XgYySdo.exe
  2⤵
  PID:9276
- C:\Windows\System32\OnDUOQB.exe
  C:\Windows\System32\OnDUOQB.exe
  2⤵
  PID:9456
- C:\Windows\System32\PeRAXgq.exe
  C:\Windows\System32\PeRAXgq.exe
  2⤵
  PID:9660
- C:\Windows\System32\YyudZoF.exe
  C:\Windows\System32\YyudZoF.exe
  2⤵
  PID:10024
- C:\Windows\System32\oycIVME.exe
  C:\Windows\System32\oycIVME.exe
  2⤵
  PID:10188
- C:\Windows\System32\Fdjdyij.exe
  C:\Windows\System32\Fdjdyij.exe
  2⤵
  PID:9636
- C:\Windows\System32\MuQsLlE.exe
  C:\Windows\System32\MuQsLlE.exe
  2⤵
  PID:10216
- C:\Windows\System32\EmcAKTJ.exe
  C:\Windows\System32\EmcAKTJ.exe
  2⤵
  PID:10252
- C:\Windows\System32\FXVksEE.exe
  C:\Windows\System32\FXVksEE.exe
  2⤵
  PID:10304
- C:\Windows\System32\ykldHTV.exe
  C:\Windows\System32\ykldHTV.exe
  2⤵
  PID:10332
- C:\Windows\System32\lPHtGqb.exe
  C:\Windows\System32\lPHtGqb.exe
  2⤵
  PID:10356
- C:\Windows\System32\tDvaxam.exe
  C:\Windows\System32\tDvaxam.exe
  2⤵
  PID:10388
- C:\Windows\System32\DerbAfx.exe
  C:\Windows\System32\DerbAfx.exe
  2⤵
  PID:10416
- C:\Windows\System32\ZvFJZfc.exe
  C:\Windows\System32\ZvFJZfc.exe
  2⤵
  PID:10448
- C:\Windows\System32\BpIuhEf.exe
  C:\Windows\System32\BpIuhEf.exe
  2⤵
  PID:10480
- C:\Windows\System32\hiGdpSa.exe
  C:\Windows\System32\hiGdpSa.exe
  2⤵
  PID:10528
- C:\Windows\System32\UTZyezg.exe
  C:\Windows\System32\UTZyezg.exe
  2⤵
  PID:10544
- C:\Windows\System32\RarYeTT.exe
  C:\Windows\System32\RarYeTT.exe
  2⤵
  PID:10568
- C:\Windows\System32\kIKHMdz.exe
  C:\Windows\System32\kIKHMdz.exe
  2⤵
  PID:10596
- C:\Windows\System32\dKgLZht.exe
  C:\Windows\System32\dKgLZht.exe
  2⤵
  PID:10632
- C:\Windows\System32\WCGGOpt.exe
  C:\Windows\System32\WCGGOpt.exe
  2⤵
  PID:10672
- C:\Windows\System32\CAdSojU.exe
  C:\Windows\System32\CAdSojU.exe
  2⤵
  PID:10688
- C:\Windows\System32\jMCJwit.exe
  C:\Windows\System32\jMCJwit.exe
  2⤵
  PID:10720
- C:\Windows\System32\rcepQna.exe
  C:\Windows\System32\rcepQna.exe
  2⤵
  PID:10772
- C:\Windows\System32\ZtDZoxH.exe
  C:\Windows\System32\ZtDZoxH.exe
  2⤵
  PID:10804
- C:\Windows\System32\BLgUeIW.exe
  C:\Windows\System32\BLgUeIW.exe
  2⤵
  PID:10832
- C:\Windows\System32\rJjjPLr.exe
  C:\Windows\System32\rJjjPLr.exe
  2⤵
  PID:10868
- C:\Windows\System32\iLtGScP.exe
  C:\Windows\System32\iLtGScP.exe
  2⤵
  PID:10884
- C:\Windows\System32\CRmBmZr.exe
  C:\Windows\System32\CRmBmZr.exe
  2⤵
  PID:10920
- C:\Windows\System32\bmcZtbe.exe
  C:\Windows\System32\bmcZtbe.exe
  2⤵
  PID:10984
- C:\Windows\System32\KJrTnFx.exe
  C:\Windows\System32\KJrTnFx.exe
  2⤵
  PID:11020
- C:\Windows\System32\vHBuESv.exe
  C:\Windows\System32\vHBuESv.exe
  2⤵
  PID:11048
- C:\Windows\System32\UNTVQlg.exe
  C:\Windows\System32\UNTVQlg.exe
  2⤵
  PID:11076
- C:\Windows\System32\hlmtjNZ.exe
  C:\Windows\System32\hlmtjNZ.exe
  2⤵
  PID:11108
- C:\Windows\System32\jvtqaqj.exe
  C:\Windows\System32\jvtqaqj.exe
  2⤵
  PID:11128
- C:\Windows\System32\zQGZbwl.exe
  C:\Windows\System32\zQGZbwl.exe
  2⤵
  PID:11160
- C:\Windows\System32\AOxKDlf.exe
  C:\Windows\System32\AOxKDlf.exe
  2⤵
  PID:11184
- C:\Windows\System32\zLJGawD.exe
  C:\Windows\System32\zLJGawD.exe
  2⤵
  PID:11224
- C:\Windows\System32\jNXcwzM.exe
  C:\Windows\System32\jNXcwzM.exe
  2⤵
  PID:11240
- C:\Windows\System32\aHynMgk.exe
  C:\Windows\System32\aHynMgk.exe
  2⤵
  PID:10088
- C:\Windows\System32\eQiZErC.exe
  C:\Windows\System32\eQiZErC.exe
  2⤵
  PID:10268
- C:\Windows\System32\ZDjyXcN.exe
  C:\Windows\System32\ZDjyXcN.exe
  2⤵
  PID:10404
- C:\Windows\System32\HRYiJiQ.exe
  C:\Windows\System32\HRYiJiQ.exe
  2⤵
  PID:10464
- C:\Windows\System32\VXdnQHF.exe
  C:\Windows\System32\VXdnQHF.exe
  2⤵
  PID:10460
- C:\Windows\System32\zJCxOwQ.exe
  C:\Windows\System32\zJCxOwQ.exe
  2⤵
  PID:10608
- C:\Windows\System32\acHeJpS.exe
  C:\Windows\System32\acHeJpS.exe
  2⤵
  PID:10680
- C:\Windows\System32\liwvKvk.exe
  C:\Windows\System32\liwvKvk.exe
  2⤵
  PID:10684
- C:\Windows\System32\BxpMCOw.exe
  C:\Windows\System32\BxpMCOw.exe
  2⤵
  PID:10744
- C:\Windows\System32\QLSpdUa.exe
  C:\Windows\System32\QLSpdUa.exe
  2⤵
  PID:10844
- C:\Windows\System32\wAVKBKh.exe
  C:\Windows\System32\wAVKBKh.exe
  2⤵
  PID:10840
- C:\Windows\System32\Owjumff.exe
  C:\Windows\System32\Owjumff.exe
  2⤵
  PID:10912
- C:\Windows\System32\UnDThBg.exe
  C:\Windows\System32\UnDThBg.exe
  2⤵
  PID:10904
- C:\Windows\System32\OkFsudC.exe
  C:\Windows\System32\OkFsudC.exe
  2⤵
  PID:11056
- C:\Windows\System32\fErENhL.exe
  C:\Windows\System32\fErENhL.exe
  2⤵
  PID:11120
- C:\Windows\System32\NqWoyBr.exe
  C:\Windows\System32\NqWoyBr.exe
  2⤵
  PID:11212
- C:\Windows\System32\qeNcJKj.exe
  C:\Windows\System32\qeNcJKj.exe
  2⤵
  PID:10276
- C:\Windows\System32\FUCUKoX.exe
  C:\Windows\System32\FUCUKoX.exe
  2⤵
  PID:10292
- C:\Windows\System32\vwNcHNg.exe
  C:\Windows\System32\vwNcHNg.exe
  2⤵
  PID:10496
- C:\Windows\System32\PbCHNBa.exe
  C:\Windows\System32\PbCHNBa.exe
  2⤵
  PID:10536
- C:\Windows\System32\SeUfOer.exe
  C:\Windows\System32\SeUfOer.exe
  2⤵
  PID:10736
- C:\Windows\System32\ZfQbVKG.exe
  C:\Windows\System32\ZfQbVKG.exe
  2⤵
  PID:10756
- C:\Windows\System32\lezyMpN.exe
  C:\Windows\System32\lezyMpN.exe
  2⤵
  PID:11104
- C:\Windows\System32\mBuPvEe.exe
  C:\Windows\System32\mBuPvEe.exe
  2⤵
  PID:11092
- C:\Windows\System32\kdTLJuU.exe
  C:\Windows\System32\kdTLJuU.exe
  2⤵
  PID:10272
- C:\Windows\System32\cNTVQoh.exe
  C:\Windows\System32\cNTVQoh.exe
  2⤵
  PID:10588
- C:\Windows\System32\sqhfcUh.exe
  C:\Windows\System32\sqhfcUh.exe
  2⤵
  PID:10492
- C:\Windows\System32\SGDeHgM.exe
  C:\Windows\System32\SGDeHgM.exe
  2⤵
  PID:10848
- C:\Windows\System32\URNZjSA.exe
  C:\Windows\System32\URNZjSA.exe
  2⤵
  PID:5668
- C:\Windows\System32\ykKeKZS.exe
  C:\Windows\System32\ykKeKZS.exe
  2⤵
  PID:5612
- C:\Windows\System32\CZdDbsB.exe
  C:\Windows\System32\CZdDbsB.exe
  2⤵
  PID:11156
- C:\Windows\System32\UaDymif.exe
  C:\Windows\System32\UaDymif.exe
  2⤵
  PID:10788
- C:\Windows\System32\THApdmQ.exe
  C:\Windows\System32\THApdmQ.exe
  2⤵
  PID:11288
- C:\Windows\System32\XitbUWB.exe
  C:\Windows\System32\XitbUWB.exe
  2⤵
  PID:11340
- C:\Windows\System32\ulBnZOk.exe
  C:\Windows\System32\ulBnZOk.exe
  2⤵
  PID:11356
- C:\Windows\System32\rLvnJIo.exe
  C:\Windows\System32\rLvnJIo.exe
  2⤵
  PID:11404
- C:\Windows\System32\FXrNvTv.exe
  C:\Windows\System32\FXrNvTv.exe
  2⤵
  PID:11420
- C:\Windows\System32\rDlpwNH.exe
  C:\Windows\System32\rDlpwNH.exe
  2⤵
  PID:11468
- C:\Windows\System32\PquetZV.exe
  C:\Windows\System32\PquetZV.exe
  2⤵
  PID:11492
- C:\Windows\System32\JcoWHaT.exe
  C:\Windows\System32\JcoWHaT.exe
  2⤵
  PID:11532
- C:\Windows\System32\ZkhkfTp.exe
  C:\Windows\System32\ZkhkfTp.exe
  2⤵
  PID:11564
- C:\Windows\System32\AkxScaW.exe
  C:\Windows\System32\AkxScaW.exe
  2⤵
  PID:11580
- C:\Windows\System32\JMoOxOb.exe
  C:\Windows\System32\JMoOxOb.exe
  2⤵
  PID:11624
- C:\Windows\System32\UcCNpkB.exe
  C:\Windows\System32\UcCNpkB.exe
  2⤵
  PID:11644
- C:\Windows\System32\XFaTmWJ.exe
  C:\Windows\System32\XFaTmWJ.exe
  2⤵
  PID:11672
- C:\Windows\System32\DagCvDI.exe
  C:\Windows\System32\DagCvDI.exe
  2⤵
  PID:11704
- C:\Windows\System32\ssVkyHs.exe
  C:\Windows\System32\ssVkyHs.exe
  2⤵
  PID:11740
- C:\Windows\System32\WxSQvOO.exe
  C:\Windows\System32\WxSQvOO.exe
  2⤵
  PID:11768
- C:\Windows\System32\mYfmMwn.exe
  C:\Windows\System32\mYfmMwn.exe
  2⤵
  PID:11804
- C:\Windows\System32\vCRiaor.exe
  C:\Windows\System32\vCRiaor.exe
  2⤵
  PID:11840
- C:\Windows\System32\SKCxFRw.exe
  C:\Windows\System32\SKCxFRw.exe
  2⤵
  PID:11884
- C:\Windows\System32\agRaSTa.exe
  C:\Windows\System32\agRaSTa.exe
  2⤵
  PID:11904
- C:\Windows\System32\ObWmjsy.exe
  C:\Windows\System32\ObWmjsy.exe
  2⤵
  PID:11944
- C:\Windows\System32\NJxyvNs.exe
  C:\Windows\System32\NJxyvNs.exe
  2⤵
  PID:11964
- C:\Windows\System32\oEJNFCt.exe
  C:\Windows\System32\oEJNFCt.exe
  2⤵
  PID:11996
- C:\Windows\System32\tdrXIZy.exe
  C:\Windows\System32\tdrXIZy.exe
  2⤵
  PID:12016
- C:\Windows\System32\sGXSYah.exe
  C:\Windows\System32\sGXSYah.exe
  2⤵
  PID:12044
- C:\Windows\System32\rdONTFd.exe
  C:\Windows\System32\rdONTFd.exe
  2⤵
  PID:12068
- C:\Windows\System32\tUUVXSy.exe
  C:\Windows\System32\tUUVXSy.exe
  2⤵
  PID:12104
- C:\Windows\System32\meFYvmV.exe
  C:\Windows\System32\meFYvmV.exe
  2⤵
  PID:12124
- C:\Windows\System32\GhvYROP.exe
  C:\Windows\System32\GhvYROP.exe
  2⤵
  PID:12140
- C:\Windows\System32\uaGPtOt.exe
  C:\Windows\System32\uaGPtOt.exe
  2⤵
  PID:12224
- C:\Windows\System32\zkUZiTD.exe
  C:\Windows\System32\zkUZiTD.exe
  2⤵
  PID:12248
- C:\Windows\System32\JtyziNc.exe
  C:\Windows\System32\JtyziNc.exe
  2⤵
  PID:12280
- C:\Windows\System32\rBCZvst.exe
  C:\Windows\System32\rBCZvst.exe
  2⤵
  PID:11276
- C:\Windows\System32\XpsOBli.exe
  C:\Windows\System32\XpsOBli.exe
  2⤵
  PID:11352
- C:\Windows\System32\cqSERjj.exe
  C:\Windows\System32\cqSERjj.exe
  2⤵
  PID:11412
- C:\Windows\System32\wCNmGlb.exe
  C:\Windows\System32\wCNmGlb.exe
  2⤵
  PID:11456
- C:\Windows\System32\LClXABL.exe
  C:\Windows\System32\LClXABL.exe
  2⤵
  PID:11512
- C:\Windows\System32\hYhEugU.exe
  C:\Windows\System32\hYhEugU.exe
  2⤵
  PID:11632
- C:\Windows\System32\gDruSrf.exe
  C:\Windows\System32\gDruSrf.exe
  2⤵
  PID:11680
- C:\Windows\System32\AgCZYon.exe
  C:\Windows\System32\AgCZYon.exe
  2⤵
  PID:11792
- C:\Windows\System32\xfDnyPP.exe
  C:\Windows\System32\xfDnyPP.exe
  2⤵
  PID:11796
- C:\Windows\System32\uoGBBoh.exe
  C:\Windows\System32\uoGBBoh.exe
  2⤵
  PID:11868
- C:\Windows\System32\VahVDGu.exe
  C:\Windows\System32\VahVDGu.exe
  2⤵
  PID:11896
- C:\Windows\System32\CAGgpGM.exe
  C:\Windows\System32\CAGgpGM.exe
  2⤵
  PID:12096
- C:\Windows\System32\pQzmHhr.exe
  C:\Windows\System32\pQzmHhr.exe
  2⤵
  PID:12064
- C:\Windows\System32\sXScATF.exe
  C:\Windows\System32\sXScATF.exe
  2⤵
  PID:12176
- C:\Windows\System32\bZfruSp.exe
  C:\Windows\System32\bZfruSp.exe
  2⤵
  PID:12188
- C:\Windows\System32\OXSgQGk.exe
  C:\Windows\System32\OXSgQGk.exe
  2⤵
  PID:12212
- C:\Windows\System32\jPEeAcq.exe
  C:\Windows\System32\jPEeAcq.exe
  2⤵
  PID:12276
- C:\Windows\System32\GjmYIyK.exe
  C:\Windows\System32\GjmYIyK.exe
  2⤵
  PID:11476
- C:\Windows\System32\vZVgboJ.exe
  C:\Windows\System32\vZVgboJ.exe
  2⤵
  PID:11552
- C:\Windows\System32\EIwfPSb.exe
  C:\Windows\System32\EIwfPSb.exe
  2⤵
  PID:11576
- C:\Windows\System32\HWaYuLT.exe
  C:\Windows\System32\HWaYuLT.exe
  2⤵
  PID:11860
- C:\Windows\System32\vgUaiMk.exe
  C:\Windows\System32\vgUaiMk.exe
  2⤵
  PID:11956
- C:\Windows\System32\KDbZcIP.exe
  C:\Windows\System32\KDbZcIP.exe
  2⤵
  PID:12008
- C:\Windows\System32\gvXGsEp.exe
  C:\Windows\System32\gvXGsEp.exe
  2⤵
  PID:12172
- C:\Windows\System32\RbzaCCW.exe
  C:\Windows\System32\RbzaCCW.exe
  2⤵
  PID:11348
- C:\Windows\System32\MGNJWpi.exe
  C:\Windows\System32\MGNJWpi.exe
  2⤵
  PID:11028
- C:\Windows\System32\AxSrCvY.exe
  C:\Windows\System32\AxSrCvY.exe
  2⤵
  PID:11760
- C:\Windows\System32\xETXFsm.exe
  C:\Windows\System32\xETXFsm.exe
  2⤵
  PID:12240
- C:\Windows\System32\yYPCObJ.exe
  C:\Windows\System32\yYPCObJ.exe
  2⤵
  PID:11732
- C:\Windows\System32\djdqmbA.exe
  C:\Windows\System32\djdqmbA.exe
  2⤵
  PID:11892
- C:\Windows\System32\QgJwDRH.exe
  C:\Windows\System32\QgJwDRH.exe
  2⤵
  PID:11940
- C:\Windows\System32\WRCpKhr.exe
  C:\Windows\System32\WRCpKhr.exe
  2⤵
  PID:11308
- C:\Windows\System32\OqZVHIr.exe
  C:\Windows\System32\OqZVHIr.exe
  2⤵
  PID:12336
- C:\Windows\System32\HdtvFLl.exe
  C:\Windows\System32\HdtvFLl.exe
  2⤵
  PID:12368
- C:\Windows\System32\IulYvkO.exe
  C:\Windows\System32\IulYvkO.exe
  2⤵
  PID:12392
- C:\Windows\System32\CCZFRlt.exe
  C:\Windows\System32\CCZFRlt.exe
  2⤵
  PID:12424
- C:\Windows\System32\oOzVdhu.exe
  C:\Windows\System32\oOzVdhu.exe
  2⤵
  PID:12452
- C:\Windows\System32\nCFqXYx.exe
  C:\Windows\System32\nCFqXYx.exe
  2⤵
  PID:12500
- C:\Windows\System32\xXhyjrK.exe
  C:\Windows\System32\xXhyjrK.exe
  2⤵
  PID:12516
- C:\Windows\System32\kwkvVyc.exe
  C:\Windows\System32\kwkvVyc.exe
  2⤵
  PID:12564
- C:\Windows\System32\pxWhMtI.exe
  C:\Windows\System32\pxWhMtI.exe
  2⤵
  PID:12580
- C:\Windows\System32\ImkjKmd.exe
  C:\Windows\System32\ImkjKmd.exe
  2⤵
  PID:12600
- C:\Windows\System32\vWIaVqo.exe
  C:\Windows\System32\vWIaVqo.exe
  2⤵
  PID:12628
- C:\Windows\System32\gHsnKrC.exe
  C:\Windows\System32\gHsnKrC.exe
  2⤵
  PID:12692
- C:\Windows\System32\XXxNUha.exe
  C:\Windows\System32\XXxNUha.exe
  2⤵
  PID:12720
- C:\Windows\System32\hskZuyz.exe
  C:\Windows\System32\hskZuyz.exe
  2⤵
  PID:12756
- C:\Windows\System32\qpexamH.exe
  C:\Windows\System32\qpexamH.exe
  2⤵
  PID:12780
- C:\Windows\System32\xheMcRI.exe
  C:\Windows\System32\xheMcRI.exe
  2⤵
  PID:12804
- C:\Windows\System32\FviyyIk.exe
  C:\Windows\System32\FviyyIk.exe
  2⤵
  PID:12836
- C:\Windows\System32\kbzlIpo.exe
  C:\Windows\System32\kbzlIpo.exe
  2⤵
  PID:12868
- C:\Windows\System32\xlkrcjn.exe
  C:\Windows\System32\xlkrcjn.exe
  2⤵
  PID:12924
- C:\Windows\System32\NvojLeV.exe
  C:\Windows\System32\NvojLeV.exe
  2⤵
  PID:12952
- C:\Windows\System32\REHAJOu.exe
  C:\Windows\System32\REHAJOu.exe
  2⤵
  PID:12976
- C:\Windows\System32\hgeXiWA.exe
  C:\Windows\System32\hgeXiWA.exe
  2⤵
  PID:13000
- C:\Windows\System32\qYYjjdi.exe
  C:\Windows\System32\qYYjjdi.exe
  2⤵
  PID:13016
- C:\Windows\System32\OIPAawn.exe
  C:\Windows\System32\OIPAawn.exe
  2⤵
  PID:13048
- C:\Windows\System32\dTusnWj.exe
  C:\Windows\System32\dTusnWj.exe
  2⤵
  PID:13076
- C:\Windows\System32\MHFFgUU.exe
  C:\Windows\System32\MHFFgUU.exe
  2⤵
  PID:13108
- C:\Windows\System32\WntyjeJ.exe
  C:\Windows\System32\WntyjeJ.exe
  2⤵
  PID:13164
- C:\Windows\System32\mnwwfuL.exe
  C:\Windows\System32\mnwwfuL.exe
  2⤵
  PID:13188
- C:\Windows\System32\nFrAEpP.exe
  C:\Windows\System32\nFrAEpP.exe
  2⤵
  PID:13220
- C:\Windows\System32\ZVYfJjP.exe
  C:\Windows\System32\ZVYfJjP.exe
  2⤵
  PID:13240
- C:\Windows\System32\jQxPlzK.exe
  C:\Windows\System32\jQxPlzK.exe
  2⤵
  PID:13264
- C:\Windows\System32\pkVGsNF.exe
  C:\Windows\System32\pkVGsNF.exe
  2⤵
  PID:12304
- C:\Windows\System32\UxdHoBG.exe
  C:\Windows\System32\UxdHoBG.exe
  2⤵
  PID:12152
- C:\Windows\System32\jyGBCBE.exe
  C:\Windows\System32\jyGBCBE.exe
  2⤵
  PID:12400
- C:\Windows\System32\qxobDzr.exe
  C:\Windows\System32\qxobDzr.exe
  2⤵
  PID:12376
- C:\Windows\System32\FOwJeZh.exe
  C:\Windows\System32\FOwJeZh.exe
  2⤵
  PID:12480
- C:\Windows\System32\PuFvoQe.exe
  C:\Windows\System32\PuFvoQe.exe
  2⤵
  PID:12576
- C:\Windows\System32\HEVrgpE.exe
  C:\Windows\System32\HEVrgpE.exe
  2⤵
  PID:12588
- C:\Windows\System32\rfhOplz.exe
  C:\Windows\System32\rfhOplz.exe
  2⤵
  PID:12672
- C:\Windows\System32\XBThDzf.exe
  C:\Windows\System32\XBThDzf.exe
  2⤵
  PID:12748
- C:\Windows\System32\JibgcEy.exe
  C:\Windows\System32\JibgcEy.exe
  2⤵
  PID:12828
- C:\Windows\System32\CPhvJSF.exe
  C:\Windows\System32\CPhvJSF.exe
  2⤵
  PID:12900
- C:\Windows\System32\dElZtTV.exe
  C:\Windows\System32\dElZtTV.exe
  2⤵
  PID:12888
- C:\Windows\System32\TlXmzpp.exe
  C:\Windows\System32\TlXmzpp.exe
  2⤵
  PID:13040
- C:\Windows\System32\VIjSZwr.exe
  C:\Windows\System32\VIjSZwr.exe
  2⤵
  PID:13064
- C:\Windows\System32\WoJjpWg.exe
  C:\Windows\System32\WoJjpWg.exe
  2⤵
  PID:13176
- C:\Windows\System32\EItRaQu.exe
  C:\Windows\System32\EItRaQu.exe
  2⤵
  PID:13284
- C:\Windows\System32\CAaJfaf.exe
  C:\Windows\System32\CAaJfaf.exe
  2⤵
  PID:13260
- C:\Windows\System32\JLTjWTV.exe
  C:\Windows\System32\JLTjWTV.exe
  2⤵
  PID:12432
- C:\Windows\System32\qvmtmqm.exe
  C:\Windows\System32\qvmtmqm.exe
  2⤵
  PID:12524
- C:\Windows\System32\eudhehb.exe
  C:\Windows\System32\eudhehb.exe
  2⤵
  PID:12592
- C:\Windows\System32\JzFafwE.exe
  C:\Windows\System32\JzFafwE.exe
  2⤵
  PID:12852
- C:\Windows\System32\PruyiGg.exe
  C:\Windows\System32\PruyiGg.exe
  2⤵
  PID:12996
- C:\Windows\System32\NIWgNzK.exe
  C:\Windows\System32\NIWgNzK.exe
  2⤵
  PID:13024
- C:\Windows\System32\suxYfnV.exe
  C:\Windows\System32\suxYfnV.exe
  2⤵
  PID:13088
- C:\Windows\System32\FYJaKFa.exe
  C:\Windows\System32\FYJaKFa.exe
  2⤵
  PID:13180
- C:\Windows\System32\bkpIGHv.exe
  C:\Windows\System32\bkpIGHv.exe
  2⤵
  PID:12444
- C:\Windows\System32\OfUyhlC.exe
  C:\Windows\System32\OfUyhlC.exe
  2⤵
  PID:12608
- C:\Windows\System32\rgbMkYz.exe
  C:\Windows\System32\rgbMkYz.exe
  2⤵
  PID:12776
- C:\Windows\System32\tgAbnMg.exe
  C:\Windows\System32\tgAbnMg.exe
  2⤵
  PID:12816
- C:\Windows\System32\mmelBCE.exe
  C:\Windows\System32\mmelBCE.exe
  2⤵
  PID:12360
- C:\Windows\System32\AoGSwYS.exe
  C:\Windows\System32\AoGSwYS.exe
  2⤵
  PID:13012
- C:\Windows\System32\vEzkBjE.exe
  C:\Windows\System32\vEzkBjE.exe
  2⤵
  PID:13364
- C:\Windows\System32\AltqjiJ.exe
  C:\Windows\System32\AltqjiJ.exe
  2⤵
  PID:13380
- C:\Windows\System32\uLMwkPi.exe
  C:\Windows\System32\uLMwkPi.exe
  2⤵
  PID:13412
- C:\Windows\System32\iRsUTqp.exe
  C:\Windows\System32\iRsUTqp.exe
  2⤵
  PID:13456
- C:\Windows\System32\WfBtOQA.exe
  C:\Windows\System32\WfBtOQA.exe
  2⤵
  PID:13476
- C:\Windows\System32\WOtKkfB.exe
  C:\Windows\System32\WOtKkfB.exe
  2⤵
  PID:13492
- C:\Windows\System32\GeLGfKX.exe
  C:\Windows\System32\GeLGfKX.exe
  2⤵
  PID:13516
- C:\Windows\System32\bYSWBqL.exe
  C:\Windows\System32\bYSWBqL.exe
  2⤵
  PID:13548
- C:\Windows\System32\MGyGEpb.exe
  C:\Windows\System32\MGyGEpb.exe
  2⤵
  PID:13588
- C:\Windows\System32\BfHZAQj.exe
  C:\Windows\System32\BfHZAQj.exe
  2⤵
  PID:13624
- C:\Windows\System32\ZvRGkye.exe
  C:\Windows\System32\ZvRGkye.exe
  2⤵
  PID:13668
- C:\Windows\System32\dtjdlhu.exe
  C:\Windows\System32\dtjdlhu.exe
  2⤵
  PID:13684
- C:\Windows\System32\bgMPSMz.exe
  C:\Windows\System32\bgMPSMz.exe
  2⤵
  PID:13712
- C:\Windows\System32\hfXUYOy.exe
  C:\Windows\System32\hfXUYOy.exe
  2⤵
  PID:13748
- C:\Windows\System32\jiDAqqR.exe
  C:\Windows\System32\jiDAqqR.exe
  2⤵
  PID:13796
- C:\Windows\System32\LIywkUS.exe
  C:\Windows\System32\LIywkUS.exe
  2⤵
  PID:13828
- C:\Windows\System32\BVVVZWL.exe
  C:\Windows\System32\BVVVZWL.exe
  2⤵
  PID:13844
- C:\Windows\System32\mSJaJeH.exe
  C:\Windows\System32\mSJaJeH.exe
  2⤵
  PID:13872
- C:\Windows\System32\dDTBwhp.exe
  C:\Windows\System32\dDTBwhp.exe
  2⤵
  PID:13892
- C:\Windows\System32\LxYUXNk.exe
  C:\Windows\System32\LxYUXNk.exe
  2⤵
  PID:13920
- C:\Windows\System32\vMiLIDU.exe
  C:\Windows\System32\vMiLIDU.exe
  2⤵
  PID:13956
- C:\Windows\System32\FPdzXyz.exe
  C:\Windows\System32\FPdzXyz.exe
  2⤵
  PID:13972
- C:\Windows\System32\GccqQmY.exe
  C:\Windows\System32\GccqQmY.exe
  2⤵
  PID:13988
- C:\Windows\System32\yxgeROI.exe
  C:\Windows\System32\yxgeROI.exe
  2⤵
  PID:14052
- C:\Windows\System32\Ueltfkc.exe
  C:\Windows\System32\Ueltfkc.exe
  2⤵
  PID:14084
- C:\Windows\System32\GbunwEL.exe
  C:\Windows\System32\GbunwEL.exe
  2⤵
  PID:14128
- C:\Windows\System32\PWXeMjw.exe
  C:\Windows\System32\PWXeMjw.exe
  2⤵
  PID:14148
- C:\Windows\System32\fUzPhgw.exe
  C:\Windows\System32\fUzPhgw.exe
  2⤵
  PID:14192
- C:\Windows\System32\TSyXAAC.exe
  C:\Windows\System32\TSyXAAC.exe
  2⤵
  PID:14224
- C:\Windows\System32\ezXUlKl.exe
  C:\Windows\System32\ezXUlKl.exe
  2⤵
  PID:14244
- C:\Windows\System32\HKzRQjg.exe
  C:\Windows\System32\HKzRQjg.exe
  2⤵
  PID:14304
- C:\Windows\System32\FpcjNVB.exe
  C:\Windows\System32\FpcjNVB.exe
  2⤵
  PID:12880
- C:\Windows\System32\khzlrzZ.exe
  C:\Windows\System32\khzlrzZ.exe
  2⤵
  PID:13316
- C:\Windows\System32\fojjXLc.exe
  C:\Windows\System32\fojjXLc.exe
  2⤵
  PID:2984
- C:\Windows\System32\iUIoYGv.exe
  C:\Windows\System32\iUIoYGv.exe
  2⤵
  PID:13372
- C:\Windows\System32\JIrhgDw.exe
  C:\Windows\System32\JIrhgDw.exe
  2⤵
  PID:13472
- C:\Windows\System32\DINezGp.exe
  C:\Windows\System32\DINezGp.exe
  2⤵
  PID:13524
- C:\Windows\System32\jsUfFcg.exe
  C:\Windows\System32\jsUfFcg.exe
  2⤵
  PID:13632
- C:\Windows\System32\qNlVRGM.exe
  C:\Windows\System32\qNlVRGM.exe
  2⤵
  PID:13660
- C:\Windows\System32\ienQJtg.exe
  C:\Windows\System32\ienQJtg.exe
  2⤵
  PID:13732
- C:\Windows\System32\iJodILk.exe
  C:\Windows\System32\iJodILk.exe
  2⤵
  PID:13840
- C:\Windows\System32\nqEqycF.exe
  C:\Windows\System32\nqEqycF.exe
  2⤵
  PID:13864
- C:\Windows\System32\yMAwliU.exe
  C:\Windows\System32\yMAwliU.exe
  2⤵
  PID:13936
- C:\Windows\System32\hpQiSBG.exe
  C:\Windows\System32\hpQiSBG.exe
  2⤵
  PID:13944
- C:\Windows\System32\XKRKAKV.exe
  C:\Windows\System32\XKRKAKV.exe
  2⤵
  PID:14020
- C:\Windows\System32\ohJSXMZ.exe
  C:\Windows\System32\ohJSXMZ.exe
  2⤵
  PID:14136
- C:\Windows\System32\AhTzzAp.exe
  C:\Windows\System32\AhTzzAp.exe
  2⤵
  PID:14156
- C:\Windows\System32\ZXxpsUW.exe
  C:\Windows\System32\ZXxpsUW.exe
  2⤵
  PID:14288
- C:\Windows\System32\RVFbkGc.exe
  C:\Windows\System32\RVFbkGc.exe
  2⤵
  PID:14292
- C:\Windows\System32\kgtTKsM.exe
  C:\Windows\System32\kgtTKsM.exe
  2⤵
  PID:13344
- C:\Windows\System32\bckMbSn.exe
  C:\Windows\System32\bckMbSn.exe
  2⤵
  PID:13488
- C:\Windows\System32\FytDNpN.exe
  C:\Windows\System32\FytDNpN.exe
  2⤵
  PID:13544
- C:\Windows\System32\XXQfrxD.exe
  C:\Windows\System32\XXQfrxD.exe
  2⤵
  PID:13644
- C:\Windows\System32\bpGQeSg.exe
  C:\Windows\System32\bpGQeSg.exe
  2⤵
  PID:13816
- C:\Windows\System32\uQPtDzT.exe
  C:\Windows\System32\uQPtDzT.exe
  2⤵
  PID:13912
- C:\Windows\System32\gmNRKxE.exe
  C:\Windows\System32\gmNRKxE.exe
  2⤵
  PID:14104
- C:\Windows\System32\qvxttqy.exe
  C:\Windows\System32\qvxttqy.exe
  2⤵
  PID:14212
- C:\Windows\System32\ISJPtVs.exe
  C:\Windows\System32\ISJPtVs.exe
  2⤵
  PID:14204
- C:\Windows\System32\hydyhXd.exe
  C:\Windows\System32\hydyhXd.exe
  2⤵
  PID:13388
- C:\Windows\System32\HkJkcSz.exe
  C:\Windows\System32\HkJkcSz.exe
  2⤵
  PID:13504
- C:\Windows\System32\NokbnXB.exe
  C:\Windows\System32\NokbnXB.exe
  2⤵
  PID:13676
- C:\Windows\System32\BSTePIF.exe
  C:\Windows\System32\BSTePIF.exe
  2⤵
  PID:13808
- C:\Windows\System32\pNbAZKg.exe
  C:\Windows\System32\pNbAZKg.exe
  2⤵
  PID:13420
- C:\Windows\System32\IMJpJlb.exe
  C:\Windows\System32\IMJpJlb.exe
  2⤵
  PID:13728
- C:\Windows\System32\nyabWxx.exe
  C:\Windows\System32\nyabWxx.exe
  2⤵
  PID:13768
- C:\Windows\System32\vNXLwBh.exe
  C:\Windows\System32\vNXLwBh.exe
  2⤵
  PID:14384
- C:\Windows\System32\mfNezJN.exe
  C:\Windows\System32\mfNezJN.exe
  2⤵
  PID:14416
- C:\Windows\System32\XEvndvM.exe
  C:\Windows\System32\XEvndvM.exe
  2⤵
  PID:14440
- C:\Windows\System32\VAwzZyZ.exe
  C:\Windows\System32\VAwzZyZ.exe
  2⤵
  PID:14464
- C:\Windows\System32\CFGJqRt.exe
  C:\Windows\System32\CFGJqRt.exe
  2⤵
  PID:14496
- C:\Windows\System32\uJGImdR.exe
  C:\Windows\System32\uJGImdR.exe
  2⤵
  PID:14528
- C:\Windows\System32\pfsFthp.exe
  C:\Windows\System32\pfsFthp.exe
  2⤵
  PID:14560
- C:\Windows\System32\UsAwAXD.exe
  C:\Windows\System32\UsAwAXD.exe
  2⤵
  PID:14592
- C:\Windows\System32\pjqUcUc.exe
  C:\Windows\System32\pjqUcUc.exe
  2⤵
  PID:14640
- C:\Windows\System32\iglGPnA.exe
  C:\Windows\System32\iglGPnA.exe
  2⤵
  PID:14672
- C:\Windows\System32\CDCBdGd.exe
  C:\Windows\System32\CDCBdGd.exe
  2⤵
  PID:14688
- C:\Windows\System32\LqAQHNM.exe
  C:\Windows\System32\LqAQHNM.exe
  2⤵
  PID:14704
- C:\Windows\System32\HShEKVy.exe
  C:\Windows\System32\HShEKVy.exe
  2⤵
  PID:14752
- C:\Windows\System32\MpszpNy.exe
  C:\Windows\System32\MpszpNy.exe
  2⤵
  PID:14784
- C:\Windows\System32\SudGkao.exe
  C:\Windows\System32\SudGkao.exe
  2⤵
  PID:14816
- C:\Windows\System32\kDRcvaF.exe
  C:\Windows\System32\kDRcvaF.exe
  2⤵
  PID:14836
- C:\Windows\System32\VvgNCMQ.exe
  C:\Windows\System32\VvgNCMQ.exe
  2⤵
  PID:14864
- C:\Windows\System32\eyBIgCt.exe
  C:\Windows\System32\eyBIgCt.exe
  2⤵
  PID:14904
- C:\Windows\System32\VKJleOl.exe
  C:\Windows\System32\VKJleOl.exe
  2⤵
  PID:14928
- C:\Windows\System32\fLLoRqb.exe
  C:\Windows\System32\fLLoRqb.exe
  2⤵
  PID:14976
- C:\Windows\System32\JVwLKSd.exe
  C:\Windows\System32\JVwLKSd.exe
  2⤵
  PID:15012
- C:\Windows\System32\StQaXBk.exe
  C:\Windows\System32\StQaXBk.exe
  2⤵
  PID:15040
- C:\Windows\System32\QgpRlDz.exe
  C:\Windows\System32\QgpRlDz.exe
  2⤵
  PID:15056
- C:\Windows\System32\vqUnanR.exe
  C:\Windows\System32\vqUnanR.exe
  2⤵
  PID:15080
- C:\Windows\System32\NTAuHDI.exe
  C:\Windows\System32\NTAuHDI.exe
  2⤵
  PID:15140
- C:\Windows\System32\BfCDEzN.exe
  C:\Windows\System32\BfCDEzN.exe
  2⤵
  PID:15164
- C:\Windows\System32\ZdMZSHi.exe
  C:\Windows\System32\ZdMZSHi.exe
  2⤵
  PID:15196
- C:\Windows\System32\qBiKaAk.exe
  C:\Windows\System32\qBiKaAk.exe
  2⤵
  PID:15216
- C:\Windows\System32\TUpbuaC.exe
  C:\Windows\System32\TUpbuaC.exe
  2⤵
  PID:15248
- C:\Windows\System32\BneHILD.exe
  C:\Windows\System32\BneHILD.exe
  2⤵
  PID:15280
- C:\Windows\System32\pIWZDWu.exe
  C:\Windows\System32\pIWZDWu.exe
  2⤵
  PID:15308
- C:\Windows\System32\OkTmLOw.exe
  C:\Windows\System32\OkTmLOw.exe
  2⤵
  PID:15344
- C:\Windows\System32\MclFDDF.exe
  C:\Windows\System32\MclFDDF.exe
  2⤵
  PID:14312
- C:\Windows\System32\dQyQKeb.exe
  C:\Windows\System32\dQyQKeb.exe
  2⤵
  PID:14456
- C:\Windows\System32\VZgCKLx.exe
  C:\Windows\System32\VZgCKLx.exe
  2⤵
  PID:14484
- C:\Windows\System32\mfSPCQs.exe
  C:\Windows\System32\mfSPCQs.exe
  2⤵
  PID:14576
- C:\Windows\System32\yTaAuAC.exe
  C:\Windows\System32\yTaAuAC.exe
  2⤵
  PID:14660
- C:\Windows\System32\IlIEvuz.exe
  C:\Windows\System32\IlIEvuz.exe
  2⤵
  PID:14696
- C:\Windows\System32\GDvtJWH.exe
  C:\Windows\System32\GDvtJWH.exe
  2⤵
  PID:14724
- C:\Windows\System32\SiZDgJs.exe
  C:\Windows\System32\SiZDgJs.exe
  2⤵
  PID:14800
- C:\Windows\System32\aIMkuPI.exe
  C:\Windows\System32\aIMkuPI.exe
  2⤵
  PID:14884
- C:\Windows\System32\bkPQJjm.exe
  C:\Windows\System32\bkPQJjm.exe
  2⤵
  PID:4248
- C:\Windows\System32\LLmmAMG.exe
  C:\Windows\System32\LLmmAMG.exe
  2⤵
  PID:14964
- C:\Windows\System32\IUMBkgS.exe
  C:\Windows\System32\IUMBkgS.exe
  2⤵
  PID:14948
- C:\Windows\System32\OLhKGHV.exe
  C:\Windows\System32\OLhKGHV.exe
  2⤵
  PID:15092
- C:\Windows\System32\VCWBnOY.exe
  C:\Windows\System32\VCWBnOY.exe
  2⤵
  PID:15160
- C:\Windows\System32\UgDCBDE.exe
  C:\Windows\System32\UgDCBDE.exe
  2⤵
  PID:15184
- C:\Windows\System32\XUmzdok.exe
  C:\Windows\System32\XUmzdok.exe
  2⤵
  PID:15288
- C:\Windows\System32\htkuuQC.exe
  C:\Windows\System32\htkuuQC.exe
  2⤵
  PID:15324
- C:\Windows\System32\moHoOcF.exe
  C:\Windows\System32\moHoOcF.exe
  2⤵
  PID:14360
- C:\Windows\System32\CywmJxQ.exe
  C:\Windows\System32\CywmJxQ.exe
  2⤵
  PID:14540
- C:\Windows\System32\XwLeUnh.exe
  C:\Windows\System32\XwLeUnh.exe
  2⤵
  PID:14548
- C:\Windows\System32\qgehkrc.exe
  C:\Windows\System32\qgehkrc.exe
  2⤵
  PID:14684
- C:\Windows\System32\LozlRrb.exe
  C:\Windows\System32\LozlRrb.exe
  2⤵
  PID:14844
- C:\Windows\System32\UHWemUV.exe
  C:\Windows\System32\UHWemUV.exe
  2⤵
  PID:3116
- C:\Windows\System32\KmWCyVT.exe
  C:\Windows\System32\KmWCyVT.exe
  2⤵
  PID:15020
- C:\Windows\System32\uHmJITk.exe
  C:\Windows\System32\uHmJITk.exe
  2⤵
  PID:15148
- C:\Windows\System32\sCCqOwp.exe
  C:\Windows\System32\sCCqOwp.exe
  2⤵
  PID:15352
- C:\Windows\System32\menHwOa.exe
  C:\Windows\System32\menHwOa.exe
  2⤵
  PID:14448
- C:\Windows\System32\RfQujEw.exe
  C:\Windows\System32\RfQujEw.exe
  2⤵
  PID:14764
- C:\Windows\System32\GrjVlEy.exe
  C:\Windows\System32\GrjVlEy.exe
  2⤵
  PID:14944
- C:\Windows\System32\HMgpCBK.exe
  C:\Windows\System32\HMgpCBK.exe
  2⤵
  PID:15204
- C:\Windows\System32\ZZCTwnc.exe
  C:\Windows\System32\ZZCTwnc.exe
  2⤵
  PID:15328
- C:\Windows\System32\rTuldXa.exe
  C:\Windows\System32\rTuldXa.exe
  2⤵
  PID:14400
- C:\Windows\System32\WFImyOr.exe
  C:\Windows\System32\WFImyOr.exe
  2⤵
  PID:15024
- C:\Windows\System32\zwbIdse.exe
  C:\Windows\System32\zwbIdse.exe
  2⤵
  PID:14036
- C:\Windows\System32\PgeOMyE.exe
  C:\Windows\System32\PgeOMyE.exe
  2⤵
  PID:15388
- C:\Windows\System32\gdDTqOn.exe
  C:\Windows\System32\gdDTqOn.exe
  2⤵
  PID:15440
- C:\Windows\System32\XeBMLrd.exe
  C:\Windows\System32\XeBMLrd.exe
  2⤵
  PID:15460
- C:\Windows\System32\NhJMeep.exe
  C:\Windows\System32\NhJMeep.exe
  2⤵
  PID:15496
- C:\Windows\System32\vBdzQAC.exe
  C:\Windows\System32\vBdzQAC.exe
  2⤵
  PID:15540
- C:\Windows\System32\czDxylz.exe
  C:\Windows\System32\czDxylz.exe
  2⤵
  PID:15572
- C:\Windows\System32\MycgICu.exe
  C:\Windows\System32\MycgICu.exe
  2⤵
  PID:15596
- C:\Windows\System32\QPbRopK.exe
  C:\Windows\System32\QPbRopK.exe
  2⤵
  PID:15620
- C:\Windows\System32\txcFlJx.exe
  C:\Windows\System32\txcFlJx.exe
  2⤵
  PID:15640
- C:\Windows\System32\pZbbJAv.exe
  C:\Windows\System32\pZbbJAv.exe
  2⤵
  PID:15676
- C:\Windows\System32\VvrfSEm.exe
  C:\Windows\System32\VvrfSEm.exe
  2⤵
  PID:15708
- C:\Windows\System32\BMVwRTQ.exe
  C:\Windows\System32\BMVwRTQ.exe
  2⤵
  PID:15744
- C:\Windows\System32\GCqPDdq.exe
  C:\Windows\System32\GCqPDdq.exe
  2⤵
  PID:15764
- C:\Windows\System32\gTrmLqo.exe
  C:\Windows\System32\gTrmLqo.exe
  2⤵
  PID:15824
- C:\Windows\System32\HAjAgFD.exe
  C:\Windows\System32\HAjAgFD.exe
  2⤵
  PID:15856
- C:\Windows\System32\LLABmiB.exe
  C:\Windows\System32\LLABmiB.exe
  2⤵
  PID:15876
- C:\Windows\System32\CcNTquL.exe
  C:\Windows\System32\CcNTquL.exe
  2⤵
  PID:15920
- C:\Windows\System32\qmYNGDY.exe
  C:\Windows\System32\qmYNGDY.exe
  2⤵
  PID:15936
- C:\Windows\System32\OVQqfiD.exe
  C:\Windows\System32\OVQqfiD.exe
  2⤵
  PID:15976
- C:\Windows\System32\peErHVB.exe
  C:\Windows\System32\peErHVB.exe
  2⤵
  PID:16024
- C:\Windows\System32\ytnvJcC.exe
  C:\Windows\System32\ytnvJcC.exe
  2⤵
  PID:16056
- C:\Windows\System32\yoYzgHO.exe
  C:\Windows\System32\yoYzgHO.exe
  2⤵
  PID:16072
- C:\Windows\System32\WnzjDUv.exe
  C:\Windows\System32\WnzjDUv.exe
  2⤵
  PID:16128
- C:\Windows\System32\EPaHLwK.exe
  C:\Windows\System32\EPaHLwK.exe
  2⤵
  PID:16152
- C:\Windows\System32\eCtFNfy.exe
  C:\Windows\System32\eCtFNfy.exe
  2⤵
  PID:16168
- C:\Windows\System32\gdevwGE.exe
  C:\Windows\System32\gdevwGE.exe
  2⤵
  PID:16200
- C:\Windows\System32\ovAASun.exe
  C:\Windows\System32\ovAASun.exe
  2⤵
  PID:16224
- C:\Windows\System32\HMhKxlY.exe
  C:\Windows\System32\HMhKxlY.exe
  2⤵
  PID:16260
- C:\Windows\System32\OFZbbIC.exe
  C:\Windows\System32\OFZbbIC.exe
  2⤵
  PID:16276
- C:\Windows\System32\cuwOunC.exe
  C:\Windows\System32\cuwOunC.exe
  2⤵
  PID:16328
- C:\Windows\System32\cACoLeP.exe
  C:\Windows\System32\cACoLeP.exe
  2⤵
  PID:16348
- C:\Windows\System32\ACNrMzb.exe
  C:\Windows\System32\ACNrMzb.exe
  2⤵
  PID:15088
- C:\Windows\System32\cLtwpVI.exe
  C:\Windows\System32\cLtwpVI.exe
  2⤵
  PID:15452
- C:\Windows\System32\QKLtnLV.exe
  C:\Windows\System32\QKLtnLV.exe
  2⤵
  PID:15436
- C:\Windows\System32\tVaVOsf.exe
  C:\Windows\System32\tVaVOsf.exe
  2⤵
  PID:15532
- C:\Windows\System32\ExbYxMP.exe
  C:\Windows\System32\ExbYxMP.exe
  2⤵
  PID:15592
- C:\Windows\System32\iaoMXje.exe
  C:\Windows\System32\iaoMXje.exe
  2⤵
  PID:15684
- C:\Windows\System32\HwHMczP.exe
  C:\Windows\System32\HwHMczP.exe
  2⤵
  PID:15724
- C:\Windows\System32\EKxePxl.exe
  C:\Windows\System32\EKxePxl.exe
  2⤵
  PID:15776
- C:\Windows\System32\miIbnRD.exe
  C:\Windows\System32\miIbnRD.exe
  2⤵
  PID:15848
- C:\Windows\System32\PWQHzgz.exe
  C:\Windows\System32\PWQHzgz.exe
  2⤵
  PID:15932
- C:\Windows\System32\PvjYIER.exe
  C:\Windows\System32\PvjYIER.exe
  2⤵
  PID:15984
- C:\Windows\System32\srXgLHt.exe
  C:\Windows\System32\srXgLHt.exe
  2⤵
  PID:16084
- C:\Windows\System32\tbtprnF.exe
  C:\Windows\System32\tbtprnF.exe
  2⤵
  PID:16144

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:16236

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BAYoLjS.exe

Filesize
2.7MB

MD5
b8964d858ede966279ae18f10a59db4b

SHA1
1deb6c7ce698db444af03510f7d09ff082ab934b

SHA256
18172198a88e1f3856c3f89ec4b7c66f2c0ca768ba025d4646d262ac49c08884

SHA512
efb62e66f8d435c8c6e2313a33ba58f5398d855cabea8fc1372485aa11d1b27ef91e8b2de863f952e2ba7ce27362d524b897ac2f74c9b23c7eca33da1639a5aa

Download Submit
C:\Windows\System32\DSiKvUP.exe

Filesize
2.7MB

MD5
05c44e347ffdca9c8a6236cc2aace390

SHA1
fafc532a24a999dfa0cfbda5e6f1ecfa2e744292

SHA256
5f32514ee108edd4756d7c21c4572c78ef5c692c69df3c197a95afa5fed6530d

SHA512
04be660ecba6eb3f043796d9cab04a92f6aed4fb8e4fb9e1e705afff3f84dd33ba2d4741a4609de1221fbacbf12e69654e96e66d0ab415fc64c17086781c25ae

Download Submit
C:\Windows\System32\FLtVcpc.exe

Filesize
2.7MB

MD5
9e0839438959cafe8585abacaaf5ea13

SHA1
0eca92fa704e89061529c303f46c9f864c8f8135

SHA256
45a29e68d726584aa935d20791544e349189b21b3c7a9803c20140093acdf3ac

SHA512
69f2cdd81bc37c73f06a1684f14ecedfde9cd5f67728e9c76da4606b38d3c805d5d72f41b731df4cc5b89e87ec0f7d955dd9243d1992ab7ed8dd170464bd2da0

Download Submit
C:\Windows\System32\HrHSDAo.exe

Filesize
2.7MB

MD5
32b4f73202a28eb4260a9473622cde67

SHA1
a72b6beb50ed9219eca95f676bde07d3c5b481a3

SHA256
e92e6bfa8deac5f1a7ce8f09091699ae0d3c6edfb9337846b299c55c03d55955

SHA512
5f3c57835851b03ab6873f10f2d5f07b2d3432dc8770bd22c3747d8b73e74c597d8819217f51e3fba63d89eb2ace34e3b84a9b92db943cbe2cf80ad11ec476f1

Download Submit
C:\Windows\System32\JZewjeW.exe

Filesize
2.7MB

MD5
15a7716ac5692e70208e3978c6d20ee0

SHA1
859499bf20799f8cb45258c14ce8fe2cfc8bd2a3

SHA256
ba593e5e983001b4f52b712edf54c17a6e48e7e410305d9e692dacb84e402280

SHA512
479fc47016f68d8583db1ad20fb4f17d686f8e4514299bad1ca138015feb8599dbf315b284b3e7dd5c9b5f0a2eb96e97434783c3562114ac503657779cafbd26

Download Submit
C:\Windows\System32\KTKpdrA.exe

Filesize
2.7MB

MD5
ec094b5469f085733b65e416ef1fca3c

SHA1
41ae206ae00fd94e87cbbdb6a2dfe41a364ac7e5

SHA256
5f297b69cce4a6bf29665d155c7a51c9a8ce8a99142cd7b3abd9874c76b0852d

SHA512
47ca35e861e153305f6859c60e3ae3ac0b858a1a5deeefbd04e593180fd26d4b457adfec72454c63089ee6e04431a71518c04978b2fe214881cd13524c4888c9

Download Submit
C:\Windows\System32\KfldRux.exe

Filesize
2.7MB

MD5
b4ad89d72935d036e30f2264bfac5b01

SHA1
5340b2b18a5d90bd1cd05d7d484e3bf9fc5f9be4

SHA256
93b8cf01ccfb2b1341955fb2b98f01bf35fd2210978be4b7b89c7383e810e9bb

SHA512
29466330b331d4d6fc63107b7327246c337a9baae1ee7d0c9a4cd716a69f1407acdf7700d0b33122a33e3e30f2a60f3d6a1ad61f1f3ffb497755cee5f56d8cf9

Download Submit
C:\Windows\System32\RxDwHBh.exe

Filesize
2.7MB

MD5
ab6526fe7fcc88cb3110e1a73f15c28e

SHA1
72c1484b4824de1546df01ac1cf78107f6d12e22

SHA256
94f1549e7788700c91485d580575a8ad59defdeb28192f360727f26aabf06973

SHA512
e6db514db87ea3c643dc9b54383981403228eb1e4ecec06ea55e09a1cc8fa8a44a58f8c6dcd576104e9527a7fee7437a8461a6c9ae9c9434978f26385bc096b4

Download Submit
C:\Windows\System32\TAdEYdu.exe

Filesize
2.7MB

MD5
fa979303e2e427d1ca61c051bae5c44e

SHA1
7dd3d1b00ce6f83b00546bcfbbf8081f9331a2d1

SHA256
e109156e7cef35742c0c736cce0760bbb80db89edfa636cfadf9f9479481bde5

SHA512
84d0f6103d2350510a8b61825d96d4a396aa73b3032ea98cbf579114414a1186388aa03de5f73ba334157609b62d56bb80697ad16a27fab36771e533f7ccaa1a

Download Submit
C:\Windows\System32\UwCxHuz.exe

Filesize
2.7MB

MD5
2bd382f5edde992a067d3c3fac1e8b36

SHA1
01718ab1e641bd7f9a50f2c2b78bb7173b495fb6

SHA256
2ddee099961acbff103e892aefe693e93f5be95d844d077c400ef587f74f67cf

SHA512
afe80a7b1d59cb8b47bd4bf90da79ea9216295487b1690ef2cdef9a84ea16d10dd2cc5f059ef003d1be19e39fa81e617c4aa1983849d3e4fc383132131ad6636

Download Submit
C:\Windows\System32\WGEpTtl.exe

Filesize
2.7MB

MD5
2a47df563f7ee9eeda62f020acc36572

SHA1
f8e9c71438588b801d8a7faa58f183423f7f05dc

SHA256
651554d37613c40dfb8ae2cc31376759bf5eb457ad32830d35df94caf0e47f36

SHA512
c2ec0e6bd1712a303b2153b300522351a94e5ed28b394b1050056f27f7d266b11f3ce9b96d8a05f9c3ea94d49365e1d7728e9518a6375fc45cb7ff1f35c02bc1

Download Submit
C:\Windows\System32\YRtEHQg.exe

Filesize
2.7MB

MD5
3f4625ac29ec0789f6126ab7eb62bbab

SHA1
aeaa3d3b802cd6f324add2870caf82f150fce01c

SHA256
61bbe4a7ed611f507f31e9c6575812f2ddb01ff2e4ecf3e9f37c1a0da78f32c0

SHA512
7b32cd81426ae61f557f7dbe64691f01c43d7e9a14108d589d2cb39f86ea3cbf232f455c85c77b8e34f7bac5b243ee0f94bca33300adbe029949b4a42e1bb730

Download Submit
C:\Windows\System32\YkJDPsq.exe

Filesize
2.7MB

MD5
c3c217eac8412e1deaaa811d7d6d084a

SHA1
0868cef300530af36b235d5913cd6aa3ea60e962

SHA256
60817c759d2e1677be402c23adedbeeca7ce3c7e0374fbffce169f041e8bcaa8

SHA512
d5345b9099af174d1561059c686774f7bfe1df7033ef1836b78dd971a2c0b0cb5c22efe2685f7f30a16ce120a12db9c23d49d60282c4b81323a0cdf992531c68

Download Submit
C:\Windows\System32\ZHZqnIG.exe

Filesize
2.7MB

MD5
7431d52fce9c6d1d457f31dec1b4e679

SHA1
398c91d088178fee1c7fd8683e9b4ecdb256b363

SHA256
ac6baa5fe8f4dbf7e4941bd6c0ab874782a62a2e8ba8a29a66bea9552ff3b477

SHA512
2487c2078f0059aee2f92f242137b7c7dd225453f004b9ef70cdf16ae1ca66bf2c98451e4e2001b261d9a5d99cc4a30d130177c0f551d88d21a15ac3d14c81f8

Download Submit
C:\Windows\System32\ZZkaNtO.exe

Filesize
2.7MB

MD5
21e499f10a2cbe6488a8c853d281090c

SHA1
3f7630bd6b6d45900929778ddb98852cc312a638

SHA256
5a76f8860d20fd7cb99e8b9489cf27ef9c2318c3388f9b78ec4cd020b49cc662

SHA512
4d2fa4d9816a54bcc269c70828a7854dd29faae29e1046bc9f8745f933213b1b59575ea8978c58d588b00e81ac1694791fb0f2d5e14c48dbe209200b79a35980

Download Submit
C:\Windows\System32\aroysaD.exe

Filesize
2.7MB

MD5
c9ecbec42f66bf03ad1fc2ec063b8b2d

SHA1
49f79dd4e7e1a99198c44a8c4b223382f4472c3a

SHA256
764de26b515db38ae4768b27e9207ed58a91ef25448383c79235ba8eec1a99f6

SHA512
81d00f27fac7df943b857839a698ac851b98ca951ad26ef6a532bde96d86ec9dc392b700c8c07851d4556d338e7680edee002655c717580aa089069d507d279f

Download Submit
C:\Windows\System32\dthigIE.exe

Filesize
2.7MB

MD5
75e567868159d49a24b3c8cb43af6f0a

SHA1
f9749bef2a669eca05ea9bec6c1e19eac4a6d883

SHA256
ca5de35884f478c99dac17a32e216fbe3c742b3c15106cb372a11cd4d0ae8c77

SHA512
3678059fbeb19b1dd273a3bdbadae0d31423deb8c0ab4a0979a17fb7fd9d7bcfa709c0038ca0fbdd257364806ca044623e3685122439b8c63d50087c6dd00535

Download Submit
C:\Windows\System32\eqRsQeI.exe

Filesize
2.7MB

MD5
7c8d181c67be553022525f710745cf64

SHA1
acc002bc338da057e161c88e8b97a8e8a910cbec

SHA256
3e8acfd0bb32c984e480c11942833ecd17045e7e20e60df573f8d3f79a7a812e

SHA512
41511539a3fc14fc8b455bcd976cf13bb4aec73a559cb2a21b558047970f6b0dc0de537f3a664478a9e5d34f9b2f05238cb588b22f53c8f15f801e2da0e33101

Download Submit
C:\Windows\System32\gudJJlY.exe

Filesize
2.7MB

MD5
7d1f05db98e56025a0a27c4f58668cf4

SHA1
a9d447335973b0e65e3ddf15b159c82c1c97b193

SHA256
9c7bc62d4a3de525183108f26f5dde116daabe6a06fc301f3fbdde90fb08610f

SHA512
73f8ab034fc47eabb38ea5fc1c200a271f77b688b682b8bf4a43c20758b177e4d1a3af22fef0cf07b695c14fa4fd7e10d4bd3415344b6a2ba299857384ad21aa

Download Submit
C:\Windows\System32\kXBCkEM.exe

Filesize
2.7MB

MD5
f40c178c4aecac380241654c08e01c16

SHA1
774a17fd2cf7d81975b6b4dd3cb840362ea633f2

SHA256
f565cb89af2fe8bd0e334e0198fbda7b429c4ec40b352a151283d843820298ad

SHA512
c704db986c36f63cb8393e734eeeae7c564fe078884f345e63913210e4cc3f368c0f438c49e5a3ae30e14b246486ef8532589f9678f2eae3dc0072227ab6352e

Download Submit
C:\Windows\System32\kwZKVZx.exe

Filesize
2.7MB

MD5
3b85a96d31912ea87f380588e9a943c0

SHA1
548a4ff717875560c0085a9e4c6107d660e906cc

SHA256
41a2a96de46f5c8c7a9150a40e882c4f80f0174b0803ed55bd4f7f3a105ecda1

SHA512
23153012e4935bffa9bdaf227f2f79c6b91a6c5e0ddb736abdb7ec5d47cd12e9472293d30cf9a91f3f0de6638c72d205f125eca1c6bba260ed489c43c4150bc7

Download Submit
C:\Windows\System32\lmQQNlR.exe

Filesize
2.7MB

MD5
49f9d35f46c3982448d59c99a6983ea5

SHA1
4777f3d65c7d8ce9effa2cffb28267807a168a45

SHA256
2315c326a89509866e5a68f688205026c30665d88807d3436fa2495dd7a91168

SHA512
cbca33bb02b472e2d630ab689cf26ba8152b18f7d6f2e6ce61a782fda454d6c40227a4a9fc1a83f1180ad48296db8217abe4abc80bff544b11ae55969556ed5c

Download Submit
C:\Windows\System32\lqHqNpG.exe

Filesize
2.7MB

MD5
ab742b01cb58e4dfe2a316d35601ce13

SHA1
347303fceb5f6c54adbed6ee42ebd94005aff87a

SHA256
e2373adc1442afb5f78b5409e8df3416ceaa754cdc6040e507ae86252df8642a

SHA512
21e4924ce80ba072d704c7a2f0a78e3a194f80b98c7539107d220acc35aec9b6b4bd8371f434f2c349aa0a7cf75771d2013e208eb270d00588aacea7383ac703

Download Submit
C:\Windows\System32\oWUldyB.exe

Filesize
2.7MB

MD5
090632d275013e18dd6fa270dd60890c

SHA1
fc83a7b1ddafc0423d342659e7a13cd0e895fb7d

SHA256
83f77a48dd19d0176882b73872bd1c62156dfe7add809215f172a2cdec779faa

SHA512
3c8fe67be5c6abf24bfbf24ae5524b8232221415eb15f02af678704231e147a2f18891ffdc36df18864902b80849a4ecbb71187e5c6f65646a768acff08b39fd

Download Submit
C:\Windows\System32\pBdepEF.exe

Filesize
2.7MB

MD5
3beafdd40a893f1fdce9b80f7073128e

SHA1
7ded2a561173c5a4f550041044e0336d4e3bdd07

SHA256
38dd7e6d75aad8250a62f393b3721ae51823fc57e9690076ef39c4e8c32b16a6

SHA512
5def5fd954c4952efab6e13cd26b56f44ae195847faa25eb92f08dd71c7dd68596dbffe5793a56b8ce7a38c7a59a96045168498ee842fe79088caa48ecceff2f

Download Submit
C:\Windows\System32\paxxoxo.exe

Filesize
2.7MB

MD5
19287cd7c8cd25ab96d395c944afd275

SHA1
0e5eadcd20469a7f16ef42a43e72041ac126091a

SHA256
0b86ec6f5ea5c0e6de93fd9a721ef74d7455774c7ac65abe385b29c06d2f79c3

SHA512
b0a7918c32280afc486296d29f085fd6fa5942ba158ad95e7d83e5c109efbe4277641dce6e3d4323d6e50560dce78ee926a916f852c4954f5bcb3793bbf71d80

Download Submit
C:\Windows\System32\tYQncgB.exe

Filesize
2.7MB

MD5
bd45ffa42b5c87d7b9184c78fe1721c0

SHA1
af69295c18651836ffc8d1031df945c77fb8ee61

SHA256
6eeb60af4d0774ec44de3a7ed790d4331f3fc38f800cc3142a408b0ec76104dc

SHA512
9640a554644650ac5a1010f62ae628c39dd11651119b016a54ef6d6b426db7656b3b08477eaaa8835b6e8549636af2d43914c1334fc30cc12926112d2a461107

Download Submit
C:\Windows\System32\vRydMAv.exe

Filesize
2.7MB

MD5
caa3e8cffc1991c8ba64350bec9c5bc0

SHA1
9d87578c9d5fb9436279e1df3ec1ecb9d9c8ef22

SHA256
19ab7751a050216a43252c15f6d4b42ce7f81ae2b28263105115a1bc789a6cc1

SHA512
417b02364307454df27354d6d81137d8a4c92b7212a08dc450f05c27aa6301d03f4bdb469de1612d912c49610e8b45a87e255e5a1fe12c8768bf41984e0fca3a

Download Submit
C:\Windows\System32\wRuZaHK.exe

Filesize
2.7MB

MD5
94dfdccce48726f0565eef01ae195093

SHA1
9647eb0a6c627f9c2f60613a131b6a3590ee848c

SHA256
3f79764b7b6ea431590be75ef9581382d27bef6edbd561c991225dd1b4c93fad

SHA512
4a3888d01015e75597dade9045c2909bb1daecad72ebf9f72df62eb1caed74c3e849fb944ea13aa453d5e628c6a74980445f01ea9260758ae71fbf12a93c8d3f

Download Submit
C:\Windows\System32\wYwCUdI.exe

Filesize
2.7MB

MD5
c960e14174cf0efb7bdfe321f814b236

SHA1
445e6872784e0574fdba8f205c104f3601f640c2

SHA256
aa85e8352356d9669f8632869e54f5befcfb85421e9ac7b59e0a6984049fa65f

SHA512
3ce5cb59255c6392938a25e88a4713bfb1c45fb01d8f5e3400a8e1f428e62a50953b8a3aaffac6b4ffb16bebce32f4503579f9825c2e7bc82d50a5c7e9b95bd0

Download Submit
C:\Windows\System32\xSloKEF.exe

Filesize
2.7MB

MD5
d25088a4c34d7b3500dc04511b5a32bf

SHA1
b639fccc685c806cc90d5e8340f5535191a0fdc1

SHA256
65f0ac3bd984515f0d576ff813a1d7ee1be8c724fbc84fd98ecad688777a135c

SHA512
e51e143d0364827310ec47d195ee9ccdf476d2f612c10d23352dd8a2f3cc44083c3f4c29f4e1f458d304a4f89dfdad8106bedb2de178f12bc213e3b5e74acee0

Download Submit
C:\Windows\System32\xqJxMwD.exe

Filesize
2.7MB

MD5
42d348e140ee1f328d884f1a55bfc423

SHA1
e1013a1feeecb166b08bd60162ec7ce3d6bb6088

SHA256
49c45d1eed5724e0cc239e337334e14131ed92dc4844fd5abd4071b107fedcde

SHA512
d0f4cc5e4f11b30c398d61f1185e1f8cab1cfcdfc3aeed4787333cac8c4a76545f8139bff22c9ee427a8793eb27bd4cf672f1bbcbb48018e3a7aa0ef18a782e4

Download Submit
C:\Windows\System32\zLEhsBH.exe

Filesize
2.7MB

MD5
ecbece8c0a7e8715240f10d29b06c799

SHA1
90442251ce318437027b5a2143a397ecb22768aa

SHA256
10599f93ad52f38c1cb43a9a5b9b8154d90a3e00cbaedf774f70a1e9d4596461

SHA512
85e3bbc9605c441d54ca0534ac81ef126b7bf76878b64c049e0524181e1c73105a9aa1f82da1b025c3df2267a45926d09f7f50c1a835b4e6b3844f45c8372bd1

Download Submit
memory/396-0-0x00007FF606190000-0x00007FF60657C000-memory.dmp

Filesize
3.9MB

Download
memory/396-1-0x000002C0EEE80000-0x000002C0EEE90000-memory.dmp

Filesize
64KB

Download
memory/1316-172-0x00007FF677810000-0x00007FF677BFC000-memory.dmp

Filesize
3.9MB

Download
memory/1324-43-0x00007FF709520000-0x00007FF70990C000-memory.dmp

Filesize
3.9MB

Download
memory/1712-112-0x00007FF7D9490000-0x00007FF7D987C000-memory.dmp

Filesize
3.9MB

Download
memory/2444-40-0x00007FF684F10000-0x00007FF6852FC000-memory.dmp

Filesize
3.9MB

Download
memory/2456-190-0x00007FF729DD0000-0x00007FF72A1BC000-memory.dmp

Filesize
3.9MB

Download
memory/2924-166-0x00007FF6958E0000-0x00007FF695CCC000-memory.dmp

Filesize
3.9MB

Download
memory/3140-103-0x00007FF7ACFE0000-0x00007FF7AD3CC000-memory.dmp

Filesize
3.9MB

Download
memory/3376-178-0x00007FF7E2EE0000-0x00007FF7E32CC000-memory.dmp

Filesize
3.9MB

Download
memory/3416-34-0x00007FF6CC7A0000-0x00007FF6CCB8C000-memory.dmp

Filesize
3.9MB

Download
memory/3516-49-0x00007FF6D4DB0000-0x00007FF6D519C000-memory.dmp

Filesize
3.9MB

Download
memory/3776-73-0x00007FF7E2840000-0x00007FF7E2C2C000-memory.dmp

Filesize
3.9MB

Download
memory/4012-31-0x00007FF6E95B0000-0x00007FF6E999C000-memory.dmp

Filesize
3.9MB

Download
memory/4160-110-0x00007FF7D8EF0000-0x00007FF7D92DC000-memory.dmp

Filesize
3.9MB

Download
memory/4356-61-0x00007FF623D70000-0x00007FF62415C000-memory.dmp

Filesize
3.9MB

Download
memory/4492-184-0x00007FF7771B0000-0x00007FF77759C000-memory.dmp

Filesize
3.9MB

Download
memory/4496-88-0x00007FF76DF80000-0x00007FF76E36C000-memory.dmp

Filesize
3.9MB

Download
memory/4552-148-0x00007FF728E60000-0x00007FF72924C000-memory.dmp

Filesize
3.9MB

Download
memory/4620-160-0x00007FF656600000-0x00007FF6569EC000-memory.dmp

Filesize
3.9MB

Download
memory/4656-130-0x00007FF7F9680000-0x00007FF7F9A6C000-memory.dmp

Filesize
3.9MB

Download
memory/4696-136-0x00007FF7AF930000-0x00007FF7AFD1C000-memory.dmp

Filesize
3.9MB

Download
memory/4792-81-0x00007FF7A4280000-0x00007FF7A466C000-memory.dmp

Filesize
3.9MB

Download
memory/4812-142-0x00007FF7C1530000-0x00007FF7C191C000-memory.dmp

Filesize
3.9MB

Download
memory/4840-154-0x00007FF774180000-0x00007FF77456C000-memory.dmp

Filesize
3.9MB

Download
memory/4948-118-0x00007FF631420000-0x00007FF63180C000-memory.dmp

Filesize
3.9MB

Download
memory/4992-124-0x00007FF737920000-0x00007FF737D0C000-memory.dmp

Filesize
3.9MB

Download
memory/5156-29-0x00007FF6A6B00000-0x00007FF6A6EEC000-memory.dmp

Filesize
3.9MB

Download
memory/5192-18-0x00007FF73F190000-0x00007FF73F57C000-memory.dmp

Filesize
3.9MB

Download
memory/5360-195-0x00007FF6A80A0000-0x00007FF6A848C000-memory.dmp

Filesize
3.9MB

Download
memory/5440-12-0x00007FF649AF0000-0x00007FF649EDC000-memory.dmp

Filesize
3.9MB

Download
memory/5772-70-0x00007FF7A66C0000-0x00007FF7A6AAC000-memory.dmp

Filesize
3.9MB

Download
memory/6024-100-0x00007FF73CD60000-0x00007FF73D14C000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads