f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302

General

Target

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
Size

51KB
MD5

cf872d47394bb55d9cd7b4a96252a9c7
SHA1

021e5cf842602d514fa20a9ac3af5d81525a98b7
SHA256

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302
SHA512

ffeefe0c4f435005f2892bc4c1d1263255e09b7aca51b5e984c14d3d9f9e284fbed91ac12f89c8db9bccdff5dcc9c4894847b33768f392a69e0e177643bbdd17
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS3D:nNJb/HkwoLe29UjQ4wqQOLIMVnS3D

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs
evasion

Hidden Files and Directories
T1564.001

Modify Registry
T1112

Processes:

userinit.exe

description ioc process

Set value (int) \REGISTRY\USER\S-1-5-21-481678230-3773327859-3495911762-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" userinit.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-481678230-3773327859-3495911762-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 2 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Drops file in Drivers directory 3 IoCs

Processes:

userinit.exetaskmgr.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe

Executes dropped EXE 64 IoCs

Processes:

userinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exe

pid	process
1248	userinit.exe
2728	taskmgr.exe
2544	csrss.exe
2916	userinit.exe
2592	taskmgr.exe
2616	csrss.exe
2228	userinit.exe
2880	taskmgr.exe
2912	csrss.exe
2484	userinit.exe
1212	taskmgr.exe
2208	csrss.exe
2800	userinit.exe
1520	taskmgr.exe
2340	csrss.exe
1608	userinit.exe
1408	taskmgr.exe
320	csrss.exe
592	userinit.exe
2132	taskmgr.exe
1320	csrss.exe
1632	userinit.exe
2320	taskmgr.exe
1696	csrss.exe
1776	userinit.exe
1348	taskmgr.exe
1724	csrss.exe
1800	userinit.exe
1748	taskmgr.exe
2144	csrss.exe
1200	userinit.exe
1936	taskmgr.exe
1688	csrss.exe
2504	userinit.exe
2372	taskmgr.exe
3064	csrss.exe
2220	userinit.exe
2644	taskmgr.exe
2756	csrss.exe
2936	userinit.exe
2656	taskmgr.exe
2768	csrss.exe
2688	userinit.exe
2676	taskmgr.exe
2568	csrss.exe
3024	userinit.exe
2552	taskmgr.exe
2660	csrss.exe
2772	userinit.exe
1620	taskmgr.exe
3012	csrss.exe
340	userinit.exe
1572	taskmgr.exe
2796	csrss.exe
1376	userinit.exe
1624	taskmgr.exe
1236	csrss.exe
2276	userinit.exe
1704	taskmgr.exe
2032	csrss.exe
1928	userinit.exe
668	taskmgr.exe
1316	csrss.exe
748	userinit.exe

Loads dropped DLL 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.exe

pid	process
2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
1248	userinit.exe
1248	userinit.exe
2728	taskmgr.exe
2728	taskmgr.exe
2544	csrss.exe
2544	csrss.exe
1248	userinit.exe
1248	userinit.exe
2592	taskmgr.exe
2592	taskmgr.exe
2616	csrss.exe
2616	csrss.exe
1248	userinit.exe
1248	userinit.exe
2880	taskmgr.exe
2880	taskmgr.exe
2912	csrss.exe
2912	csrss.exe
1248	userinit.exe
1248	userinit.exe
1212	taskmgr.exe
1212	taskmgr.exe
2208	csrss.exe
1248	userinit.exe
1248	userinit.exe
1520	taskmgr.exe
1520	taskmgr.exe
2340	csrss.exe
1248	userinit.exe
1248	userinit.exe
1408	taskmgr.exe
1408	taskmgr.exe
320	csrss.exe
1248	userinit.exe
1248	userinit.exe
2132	taskmgr.exe
2132	taskmgr.exe
1320	csrss.exe
1248	userinit.exe
1248	userinit.exe
2320	taskmgr.exe
2320	taskmgr.exe
1696	csrss.exe
1248	userinit.exe
1248	userinit.exe
1348	taskmgr.exe
1348	taskmgr.exe
1724	csrss.exe
1248	userinit.exe
1248	userinit.exe
1748	taskmgr.exe
1748	taskmgr.exe
2144	csrss.exe
1248	userinit.exe
1248	userinit.exe
1936	taskmgr.exe
1936	taskmgr.exe
1688	csrss.exe
1248	userinit.exe
1248	userinit.exe
2372	taskmgr.exe
2372	taskmgr.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral1/memory/2164-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
\Windows\system\userinit.exe	upx
behavioral1/memory/1248-13-0x0000000000400000-0x0000000000426000-memory.dmp	upx
\Windows\SysWOW64\drivers\taskmgr.exe	upx
\Windows\SysWOW64\drivers\csrss.exe	upx
behavioral1/memory/2544-40-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2544-49-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2164-56-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2728-55-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2916-53-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2592-62-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1248-73-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2228-77-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2616-81-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2592-79-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2912-97-0x0000000001E40000-0x0000000001E66000-memory.dmp	upx
behavioral1/memory/2912-102-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2880-103-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2484-105-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1212-114-0x00000000004B0000-0x00000000004D6000-memory.dmp	upx
behavioral1/memory/2800-125-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2800-127-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2208-131-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1212-130-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1520-136-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1608-152-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1520-154-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2340-151-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1408-161-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/592-171-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/592-173-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1408-175-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/320-176-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2132-180-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1632-191-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2132-195-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1320-194-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2320-199-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1776-205-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2320-208-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1696-210-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1724-217-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1800-220-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1348-223-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1748-226-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1200-234-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1248-230-0x0000000000800000-0x0000000000826000-memory.dmp	upx
behavioral1/memory/2144-238-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1748-237-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1688-244-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1688-249-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1936-251-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2372-255-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2220-262-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1248-267-0x0000000000800000-0x0000000000826000-memory.dmp	upx
behavioral1/memory/2756-270-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2936-275-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2656-280-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2688-287-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2676-294-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2676-297-0x00000000026E0000-0x0000000002706000-memory.dmp	upx
behavioral1/memory/2568-298-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2568-304-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2552-310-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\userinit.exe	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exe

pid	process
2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe
1248	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

userinit.exe

pid process

1248 userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.exe

pid	process
2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
1248	userinit.exe
2728	taskmgr.exe
2544	csrss.exe
2916	userinit.exe
1248	userinit.exe
2592	taskmgr.exe
2616	csrss.exe
2228	userinit.exe
2880	taskmgr.exe
2912	csrss.exe
2484	userinit.exe
1212	taskmgr.exe
2208	csrss.exe
2800	userinit.exe
1520	taskmgr.exe
2340	csrss.exe
1608	userinit.exe
1408	taskmgr.exe
320	csrss.exe
592	userinit.exe
2132	taskmgr.exe
1320	csrss.exe
1632	userinit.exe
2320	taskmgr.exe
1696	csrss.exe
1776	userinit.exe
1348	taskmgr.exe
1724	csrss.exe
1800	userinit.exe
1748	taskmgr.exe
2144	csrss.exe
1200	userinit.exe
1936	taskmgr.exe
1688	csrss.exe
2504	userinit.exe
2372	taskmgr.exe
3064	csrss.exe
2220	userinit.exe
2644	taskmgr.exe
2756	csrss.exe
2936	userinit.exe
2656	taskmgr.exe
2768	csrss.exe
2688	userinit.exe
2676	taskmgr.exe
2568	csrss.exe
3024	userinit.exe
2552	taskmgr.exe
2660	csrss.exe
2772	userinit.exe
1620	taskmgr.exe
3012	csrss.exe
340	userinit.exe
1572	taskmgr.exe
2796	csrss.exe
1376	userinit.exe
1624	taskmgr.exe
1236	csrss.exe
2276	userinit.exe
1704	taskmgr.exe
2032	csrss.exe
1928	userinit.exe
668	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

description	pid	process	target process
PID 2164 wrote to memory of 1248	2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 2164 wrote to memory of 1248	2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 2164 wrote to memory of 1248	2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 2164 wrote to memory of 1248	2164	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 1248 wrote to memory of 2728	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2728	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2728	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2728	1248	userinit.exe	taskmgr.exe
PID 2728 wrote to memory of 2544	2728	taskmgr.exe	csrss.exe
PID 2728 wrote to memory of 2544	2728	taskmgr.exe	csrss.exe
PID 2728 wrote to memory of 2544	2728	taskmgr.exe	csrss.exe
PID 2728 wrote to memory of 2544	2728	taskmgr.exe	csrss.exe
PID 2544 wrote to memory of 2916	2544	csrss.exe	userinit.exe
PID 2544 wrote to memory of 2916	2544	csrss.exe	userinit.exe
PID 2544 wrote to memory of 2916	2544	csrss.exe	userinit.exe
PID 2544 wrote to memory of 2916	2544	csrss.exe	userinit.exe
PID 1248 wrote to memory of 2592	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2592	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2592	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2592	1248	userinit.exe	taskmgr.exe
PID 2592 wrote to memory of 2616	2592	taskmgr.exe	csrss.exe
PID 2592 wrote to memory of 2616	2592	taskmgr.exe	csrss.exe
PID 2592 wrote to memory of 2616	2592	taskmgr.exe	csrss.exe
PID 2592 wrote to memory of 2616	2592	taskmgr.exe	csrss.exe
PID 2616 wrote to memory of 2228	2616	csrss.exe	userinit.exe
PID 2616 wrote to memory of 2228	2616	csrss.exe	userinit.exe
PID 2616 wrote to memory of 2228	2616	csrss.exe	userinit.exe
PID 2616 wrote to memory of 2228	2616	csrss.exe	userinit.exe
PID 1248 wrote to memory of 2880	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2880	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2880	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 2880	1248	userinit.exe	taskmgr.exe
PID 2880 wrote to memory of 2912	2880	taskmgr.exe	csrss.exe
PID 2880 wrote to memory of 2912	2880	taskmgr.exe	csrss.exe
PID 2880 wrote to memory of 2912	2880	taskmgr.exe	csrss.exe
PID 2880 wrote to memory of 2912	2880	taskmgr.exe	csrss.exe
PID 2912 wrote to memory of 2484	2912	csrss.exe	userinit.exe
PID 2912 wrote to memory of 2484	2912	csrss.exe	userinit.exe
PID 2912 wrote to memory of 2484	2912	csrss.exe	userinit.exe
PID 2912 wrote to memory of 2484	2912	csrss.exe	userinit.exe
PID 1248 wrote to memory of 1212	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 1212	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 1212	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 1212	1248	userinit.exe	taskmgr.exe
PID 1212 wrote to memory of 2208	1212	taskmgr.exe	csrss.exe
PID 1212 wrote to memory of 2208	1212	taskmgr.exe	csrss.exe
PID 1212 wrote to memory of 2208	1212	taskmgr.exe	csrss.exe
PID 1212 wrote to memory of 2208	1212	taskmgr.exe	csrss.exe
PID 2208 wrote to memory of 2800	2208	csrss.exe	userinit.exe
PID 2208 wrote to memory of 2800	2208	csrss.exe	userinit.exe
PID 2208 wrote to memory of 2800	2208	csrss.exe	userinit.exe
PID 2208 wrote to memory of 2800	2208	csrss.exe	userinit.exe
PID 1248 wrote to memory of 1520	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 1520	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 1520	1248	userinit.exe	taskmgr.exe
PID 1248 wrote to memory of 1520	1248	userinit.exe	taskmgr.exe
PID 1520 wrote to memory of 2340	1520	taskmgr.exe	csrss.exe
PID 1520 wrote to memory of 2340	1520	taskmgr.exe	csrss.exe
PID 1520 wrote to memory of 2340	1520	taskmgr.exe	csrss.exe
PID 1520 wrote to memory of 2340	1520	taskmgr.exe	csrss.exe
PID 2340 wrote to memory of 1608	2340	csrss.exe	userinit.exe
PID 2340 wrote to memory of 1608	2340	csrss.exe	userinit.exe
PID 2340 wrote to memory of 1608	2340	csrss.exe	userinit.exe
PID 2340 wrote to memory of 1608	2340	csrss.exe	userinit.exe

C:\Users\Admin\AppData\Local\Temp\f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
"C:\Users\Admin\AppData\Local\Temp\f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2164

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
2⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Boot or Logon Autostart Execution: Active Setup
- Drops file in Drivers directory
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Drops file in Drivers directory
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2912

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1212

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1408

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:592

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2132

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1696

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2144

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1200

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2504

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2220

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1624

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1236

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
PID:1316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
PID:748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:112

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2264

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:296

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1060

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:932

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:996

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:236

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2264

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2128

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2356

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2744

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1376

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2332

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:300

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1052

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1748

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2432

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1720

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2352

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2016

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2148

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2836

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2360

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1708

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1200

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2160

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2380

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2920

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:592

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:668

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1048

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2976

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2004

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2860

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2368

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2612

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2240

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2136

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1412

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1236

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1928

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1868

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1360

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:300

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2132

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2356

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2724

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2592

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1860

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2864

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1988

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2612

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2232

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:296

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1160

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1928

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2360

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:112

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2160

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2860

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2544

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3020

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2872

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2912

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1624

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1928

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2496

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1268

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2252

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2168

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2432

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2284

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2424

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2016

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2836

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2920

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2056

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3016

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2228

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1404

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1212

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2912

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2452

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1412

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1516

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1144

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1360

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2420

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:484

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2544

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2640

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2428

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2524

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2232

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2240

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1624

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:932

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1004

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1360

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1268

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1048

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2184

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2828

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:496

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3028

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2908

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2516

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2836

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1144

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2264

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2132

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2388

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2660

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1404

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2484

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2808

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2516

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1060

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1048

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1976

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2720

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1200

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2792

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:496

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3016

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2524

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2148

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:296

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2240

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1992

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2408

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1144

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2004

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2744

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:112

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3028

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1416

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2148

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1212

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:568

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2288

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2016

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1868

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:748

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:996

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2168

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2192

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2640

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2808

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2016

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1412

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:344

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2032

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1872

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2140

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:892

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2268

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:112

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2184

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2640

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2240

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2408

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2388

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:112

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2424

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2808

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2120

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1236

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2016

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1612

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2720

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1976

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:832

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\drivers\csrss.exe
Filesize
51KB

MD5
73b9fd00fd534dbf39d9202278cd0ec0

SHA1
8420344cee4e077aa4e6450598e6a6c6bb781ce7

SHA256
1085b8d259253a9fc93abb8ea2e01beec0fa0f1161336e56f2fd1b78829e335e

SHA512
aac1f882785a482717992cd57e79811bb3f33805869b55c35058bb8cb78adcef262d36a31d3b098320d7be2fd5723bf65c2dd75311d8c82cb9071b0eb55d570f

Download Submit
\Windows\SysWOW64\drivers\taskmgr.exe
Filesize
51KB

MD5
6992dbb298c4f3fed07752929ad7e08c

SHA1
7db7e03028e2c8331e567a04cbd32f4f094e1ac1

SHA256
89697ea4202bb0db4219e73179ea812376cd0e87d69a2bdd889d4c5878970cff

SHA512
2e8fc1b38e5e0a489e6a89f4f86331b42b62b2c02b905b99045d3e987d4eb02615fa0774ecc51444324e127f699a3387640591972a730101d3a5207ac8fd7232

Download Submit
\Windows\system\userinit.exe
Filesize
51KB

MD5
1c405c71a785030d72db416e5ab79ff1

SHA1
6a28e58bb196b10902752467069179e250e9622d

SHA256
12e6715c4075f25067d6871df2caf0ce35316d9817a341bc608991b2f6f8155e

SHA512
cd78352b7e62cc384f368817b571500e9b35e5362a55a427e5e87e4353ddf4fd2b42d515ea95eb20318d45ca6d540a42b01f543da593b7da5b11a8d2d519e5aa

Download Submit
memory/320-176-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/340-333-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/592-173-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/592-171-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1200-234-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1212-114-0x00000000004B0000-0x00000000004D6000-memory.dmp

Filesize
152KB

Download
memory/1212-130-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1248-239-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-230-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-308-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-309-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-61-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-60-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-73-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1248-293-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-279-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-267-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-85-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-264-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-254-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-198-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-211-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-13-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1248-109-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-26-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-117-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-116-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-160-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-323-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-135-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1248-337-0x0000000000800000-0x0000000000826000-memory.dmp

Filesize
152KB

Download
memory/1320-194-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1348-223-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1348-216-0x00000000003D0000-0x00000000003F6000-memory.dmp

Filesize
152KB

Download
memory/1408-175-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1408-161-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1520-142-0x00000000004B0000-0x00000000004D6000-memory.dmp

Filesize
152KB

Download
memory/1520-154-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1520-136-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1572-339-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1608-152-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1620-327-0x0000000002560000-0x0000000002586000-memory.dmp

Filesize
152KB

Download
memory/1620-335-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1632-191-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1688-249-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1688-244-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1696-204-0x0000000001E10000-0x0000000001E36000-memory.dmp

Filesize
152KB

Download
memory/1696-210-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1724-217-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1748-226-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1748-237-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1776-205-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1800-220-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1936-251-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2132-195-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2132-180-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2144-231-0x0000000003200000-0x0000000003226000-memory.dmp

Filesize
152KB

Download
memory/2144-238-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2164-11-0x0000000001DC0000-0x0000000001DE6000-memory.dmp

Filesize
152KB

Download
memory/2164-56-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2164-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2208-131-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2208-124-0x0000000001E50000-0x0000000001E76000-memory.dmp

Filesize
152KB

Download
memory/2220-262-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2228-77-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2320-199-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2320-208-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2340-151-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2372-255-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2484-105-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2544-40-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2544-49-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2552-311-0x00000000004A0000-0x00000000004C6000-memory.dmp

Filesize
152KB

Download
memory/2552-310-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2568-304-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2568-299-0x0000000002430000-0x0000000002456000-memory.dmp

Filesize
152KB

Download
memory/2568-298-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2592-62-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2592-79-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2616-81-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2656-280-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2656-281-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2660-321-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2660-316-0x0000000002F90000-0x0000000002FB6000-memory.dmp

Filesize
152KB

Download
memory/2676-294-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2676-297-0x00000000026E0000-0x0000000002706000-memory.dmp

Filesize
152KB

Download
memory/2688-287-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2728-55-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2728-38-0x00000000024F0000-0x0000000002516000-memory.dmp

Filesize
152KB

Download
memory/2756-270-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2768-286-0x00000000023B0000-0x00000000023D6000-memory.dmp

Filesize
152KB

Download
memory/2772-317-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2796-350-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2800-127-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2800-125-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2880-91-0x0000000002430000-0x0000000002456000-memory.dmp

Filesize
152KB

Download
memory/2880-103-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2912-97-0x0000000001E40000-0x0000000001E66000-memory.dmp

Filesize
152KB

Download
memory/2912-102-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2916-53-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2936-275-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3012-328-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads