f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302

General

Target

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
Size

51KB
MD5

cf872d47394bb55d9cd7b4a96252a9c7
SHA1

021e5cf842602d514fa20a9ac3af5d81525a98b7
SHA256

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302
SHA512

ffeefe0c4f435005f2892bc4c1d1263255e09b7aca51b5e984c14d3d9f9e284fbed91ac12f89c8db9bccdff5dcc9c4894847b33768f392a69e0e177643bbdd17
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS3D:nNJb/HkwoLe29UjQ4wqQOLIMVnS3D

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs
evasion

Hidden Files and Directories
T1564.001

Modify Registry
T1112

Processes:

userinit.exe

description ioc process

Set value (int) \REGISTRY\USER\S-1-5-21-4124900551-4068476067-3491212533-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" userinit.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-4124900551-4068476067-3491212533-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 2 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Drops file in Drivers directory 3 IoCs

Processes:

userinit.exetaskmgr.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe

Executes dropped EXE 64 IoCs

Processes:

userinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exe

pid	process
1640	userinit.exe
3156	taskmgr.exe
4344	csrss.exe
2384	userinit.exe
3984	taskmgr.exe
2564	csrss.exe
2352	userinit.exe
4640	taskmgr.exe
1208	csrss.exe
1916	userinit.exe
3128	taskmgr.exe
2144	csrss.exe
4924	userinit.exe
2124	taskmgr.exe
2856	csrss.exe
2480	userinit.exe
4604	taskmgr.exe
1392	csrss.exe
4504	userinit.exe
3616	taskmgr.exe
2804	csrss.exe
2116	userinit.exe
4512	taskmgr.exe
2464	csrss.exe
2744	userinit.exe
1756	taskmgr.exe
884	csrss.exe
4680	userinit.exe
936	taskmgr.exe
3716	csrss.exe
2584	userinit.exe
1272	taskmgr.exe
3724	csrss.exe
4420	userinit.exe
4884	taskmgr.exe
2520	csrss.exe
2684	userinit.exe
3140	taskmgr.exe
4468	csrss.exe
3296	userinit.exe
4500	taskmgr.exe
1452	csrss.exe
1084	userinit.exe
2092	taskmgr.exe
4932	csrss.exe
4544	userinit.exe
4432	taskmgr.exe
4340	csrss.exe
2952	userinit.exe
4312	taskmgr.exe
1528	csrss.exe
2476	userinit.exe
2120	taskmgr.exe
4588	csrss.exe
4044	userinit.exe
3520	taskmgr.exe
3796	csrss.exe
2184	userinit.exe
3992	taskmgr.exe
4456	csrss.exe
2480	userinit.exe
1188	taskmgr.exe
2548	csrss.exe
4604	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/1260-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
C:\Windows\System\userinit.exe	upx
C:\Windows\SysWOW64\drivers\taskmgr.exe	upx
C:\Windows\SysWOW64\drivers\csrss.exe	upx
behavioral2/memory/2384-28-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4344-30-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3156-34-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1260-35-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2564-40-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2352-47-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2564-48-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3984-50-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4640-52-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1916-59-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1208-65-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1916-64-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4640-67-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1640-69-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4924-79-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3128-82-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2480-93-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2856-95-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2124-97-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4504-108-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1392-110-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4604-111-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2116-122-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2804-123-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3616-124-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2744-135-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2464-137-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4512-138-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4680-149-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/884-151-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1756-152-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2584-163-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3716-165-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/936-167-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4420-178-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3724-180-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1272-182-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2684-193-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2520-195-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4884-196-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3296-207-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3140-209-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1084-220-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4500-222-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4544-233-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2092-235-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2952-246-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4432-248-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2476-259-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4312-261-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4044-272-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4588-274-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2120-276-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2184-287-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3796-289-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3520-290-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2480-301-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3992-303-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4604-311-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2548-313-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\userinit.exe	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exe

pid	process
1260	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
1260	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe
1640	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

userinit.exe

pid process

1640 userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.exe

pid	process
1260	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
1640	userinit.exe
3156	taskmgr.exe
4344	csrss.exe
2384	userinit.exe
1640	userinit.exe
3984	taskmgr.exe
2564	csrss.exe
2352	userinit.exe
4640	taskmgr.exe
1208	csrss.exe
1916	userinit.exe
3128	taskmgr.exe
2144	csrss.exe
4924	userinit.exe
2124	taskmgr.exe
2856	csrss.exe
2480	userinit.exe
4604	taskmgr.exe
1392	csrss.exe
4504	userinit.exe
3616	taskmgr.exe
2804	csrss.exe
2116	userinit.exe
4512	taskmgr.exe
2464	csrss.exe
2744	userinit.exe
1756	taskmgr.exe
884	csrss.exe
4680	userinit.exe
936	taskmgr.exe
3716	csrss.exe
2584	userinit.exe
1272	taskmgr.exe
3724	csrss.exe
4420	userinit.exe
4884	taskmgr.exe
2520	csrss.exe
2684	userinit.exe
3140	taskmgr.exe
4468	csrss.exe
3296	userinit.exe
4500	taskmgr.exe
1452	csrss.exe
1084	userinit.exe
2092	taskmgr.exe
4932	csrss.exe
4544	userinit.exe
4432	taskmgr.exe
4340	csrss.exe
2952	userinit.exe
4312	taskmgr.exe
1528	csrss.exe
2476	userinit.exe
2120	taskmgr.exe
4588	csrss.exe
4044	userinit.exe
3520	taskmgr.exe
3796	csrss.exe
2184	userinit.exe
3992	taskmgr.exe
4456	csrss.exe
2480	userinit.exe
1188	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

description	pid	process	target process
PID 1260 wrote to memory of 1640	1260	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 1260 wrote to memory of 1640	1260	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 1260 wrote to memory of 1640	1260	f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe	userinit.exe
PID 1640 wrote to memory of 3156	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3156	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3156	1640	userinit.exe	taskmgr.exe
PID 3156 wrote to memory of 4344	3156	taskmgr.exe	csrss.exe
PID 3156 wrote to memory of 4344	3156	taskmgr.exe	csrss.exe
PID 3156 wrote to memory of 4344	3156	taskmgr.exe	csrss.exe
PID 4344 wrote to memory of 2384	4344	csrss.exe	userinit.exe
PID 4344 wrote to memory of 2384	4344	csrss.exe	userinit.exe
PID 4344 wrote to memory of 2384	4344	csrss.exe	userinit.exe
PID 1640 wrote to memory of 3984	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3984	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3984	1640	userinit.exe	taskmgr.exe
PID 3984 wrote to memory of 2564	3984	taskmgr.exe	csrss.exe
PID 3984 wrote to memory of 2564	3984	taskmgr.exe	csrss.exe
PID 3984 wrote to memory of 2564	3984	taskmgr.exe	csrss.exe
PID 2564 wrote to memory of 2352	2564	csrss.exe	userinit.exe
PID 2564 wrote to memory of 2352	2564	csrss.exe	userinit.exe
PID 2564 wrote to memory of 2352	2564	csrss.exe	userinit.exe
PID 1640 wrote to memory of 4640	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 4640	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 4640	1640	userinit.exe	taskmgr.exe
PID 4640 wrote to memory of 1208	4640	taskmgr.exe	csrss.exe
PID 4640 wrote to memory of 1208	4640	taskmgr.exe	csrss.exe
PID 4640 wrote to memory of 1208	4640	taskmgr.exe	csrss.exe
PID 1208 wrote to memory of 1916	1208	csrss.exe	userinit.exe
PID 1208 wrote to memory of 1916	1208	csrss.exe	userinit.exe
PID 1208 wrote to memory of 1916	1208	csrss.exe	userinit.exe
PID 1640 wrote to memory of 3128	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3128	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3128	1640	userinit.exe	taskmgr.exe
PID 3128 wrote to memory of 2144	3128	taskmgr.exe	csrss.exe
PID 3128 wrote to memory of 2144	3128	taskmgr.exe	csrss.exe
PID 3128 wrote to memory of 2144	3128	taskmgr.exe	csrss.exe
PID 2144 wrote to memory of 4924	2144	csrss.exe	userinit.exe
PID 2144 wrote to memory of 4924	2144	csrss.exe	userinit.exe
PID 2144 wrote to memory of 4924	2144	csrss.exe	userinit.exe
PID 1640 wrote to memory of 2124	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 2124	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 2124	1640	userinit.exe	taskmgr.exe
PID 2124 wrote to memory of 2856	2124	taskmgr.exe	csrss.exe
PID 2124 wrote to memory of 2856	2124	taskmgr.exe	csrss.exe
PID 2124 wrote to memory of 2856	2124	taskmgr.exe	csrss.exe
PID 2856 wrote to memory of 2480	2856	csrss.exe	userinit.exe
PID 2856 wrote to memory of 2480	2856	csrss.exe	userinit.exe
PID 2856 wrote to memory of 2480	2856	csrss.exe	userinit.exe
PID 1640 wrote to memory of 4604	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 4604	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 4604	1640	userinit.exe	taskmgr.exe
PID 4604 wrote to memory of 1392	4604	taskmgr.exe	csrss.exe
PID 4604 wrote to memory of 1392	4604	taskmgr.exe	csrss.exe
PID 4604 wrote to memory of 1392	4604	taskmgr.exe	csrss.exe
PID 1392 wrote to memory of 4504	1392	csrss.exe	userinit.exe
PID 1392 wrote to memory of 4504	1392	csrss.exe	userinit.exe
PID 1392 wrote to memory of 4504	1392	csrss.exe	userinit.exe
PID 1640 wrote to memory of 3616	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3616	1640	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 3616	1640	userinit.exe	taskmgr.exe
PID 3616 wrote to memory of 2804	3616	taskmgr.exe	csrss.exe
PID 3616 wrote to memory of 2804	3616	taskmgr.exe	csrss.exe
PID 3616 wrote to memory of 2804	3616	taskmgr.exe	csrss.exe
PID 2804 wrote to memory of 2116	2804	csrss.exe	userinit.exe

C:\Users\Admin\AppData\Local\Temp\f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe
"C:\Users\Admin\AppData\Local\Temp\f6e53355840a9bd28a72315916f76d936febc5974f8a9d58d211b616e0b1d302.exe"
1⤵
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
2⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Boot or Logon Autostart Execution: Active Setup
- Drops file in Drivers directory
- Executes dropped EXE
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Drops file in Drivers directory
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3156

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2352

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3128

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2144

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2124

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4504

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2116

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2464

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4680

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3296

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1452

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4932

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4544

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4432

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1528

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2476

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2120

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2184

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3992

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4456

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
PID:2548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
PID:4604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2824

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4476

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4284

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3792

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4240

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2428

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1448

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1404

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4296

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:60

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5096

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4484

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4028

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3268

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2288

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4100

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3176

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3332

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2020

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:60

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2336

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3096

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3184

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1496

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2184

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:868

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4372

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4972

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2436

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4732

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1124

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3004

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1424

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4192

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2424

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4368

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:868

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4004

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4716

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1032

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:760

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1152

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:60

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1720

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2976

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3096

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2352

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1404

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5112

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4296

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2124

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4432

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3436

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2424

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:116

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3816

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4712

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:868

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:696

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4592

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3096

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1124

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5024

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1396

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4364

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:8

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4972

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4476

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2376

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1452

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1124

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:828

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:868

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2464

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:220

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4400

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3836

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3184

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1384

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:968

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1352

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1160

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2436

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3252

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1448

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:868

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1332

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3248

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3296

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3240

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4296

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:828

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1424

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2124

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4336

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3928

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3788

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3372

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1968

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3252

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4220

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2560

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1384

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3828

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4432

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:668

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3240

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2440

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4224

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5112

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3252

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2464

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2120

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4048

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3792

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:868

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4972

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4212

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:220

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2336

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2808

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3836

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4400

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2184

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3656

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1396

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1472

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4364

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4216

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1344

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3828

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4908

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3004

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4200

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4296

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1968

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4852

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1460

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3268

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3472

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2808

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:116

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2440

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3128

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4288

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2464

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:428

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1440

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4432

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2408

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1452

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3372

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4220

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2020

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3020

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1396

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:212

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1496

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1980

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4284

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4864

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3128

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4368

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2144

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3788

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4808

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3248

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1028

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:464

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2200

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3184

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:760

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4560

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4972

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:220

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5008

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\drivers\csrss.exe
Filesize
51KB

MD5
1e930cd38c1c0bd5debe0ad64c4a3ef4

SHA1
3721b57c2678f918c7f5f0f01b1b2f9cda6d3666

SHA256
ba55bcd77637047f18f6e16f78669da49c47a416fc936603916e2c70be67b17b

SHA512
a5d5a4df23c7391d467442587b1f20651ff171b2c1fb66dbe770734e2a28586a62d784211b38f57cb6c25c888ff12dc007cd46e0b21e418566dd932d37ec59e2

Download Submit
C:\Windows\SysWOW64\drivers\taskmgr.exe
Filesize
51KB

MD5
82a2af6dba61ad3b1bb72536c77eaee3

SHA1
dde9a693abed87f761abd82c947684f0c47b5d51

SHA256
c4364328beaa18c2a0d70be0c7216e240b9677663eb6c890858f0572713d439b

SHA512
23d4767aecd8f6446bc3e30113dbaee90f72722e69c09859d4df1b5978ae06978478314d91de6d582a07f9520d8375638e71b08f4cc81c7d958e575ca1aa8b4d

Download Submit
C:\Windows\System\userinit.exe
Filesize
51KB

MD5
bdc813c20ab41a5606d0da7e31f9a286

SHA1
79a231fe3aa951f40ddc59e439e3349fb1f903cf

SHA256
be7f3ae3a7527dae43f37144f9651a7fb47b43b4db5cb3f942d71a7fe518e089

SHA512
d1e9b8b19bd35e0baf4a76eec4a0dcf6bb1759e1f7dd3d55a1c0b13e5a6f6c0b9c580c21c9c853d05fa5ec0b16fb9106cacc66a79b2cf5d783cd209a32fad3ea

Download Submit
memory/348-393-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/380-552-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/400-464-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/412-530-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/636-404-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/752-416-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/884-151-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/884-346-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/936-167-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/952-406-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/964-453-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1084-220-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1152-496-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1188-315-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1208-65-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1260-35-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1260-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1272-182-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1304-484-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1392-110-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1404-428-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1640-69-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1648-408-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1756-152-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1796-518-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1916-59-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1916-64-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2092-235-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2116-122-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2120-276-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2124-97-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2184-287-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2196-334-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2344-461-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2352-47-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2384-28-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2428-384-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2444-520-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2464-137-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2476-259-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2480-301-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2480-93-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2520-195-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2520-541-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2548-313-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2564-48-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2564-40-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2584-163-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2612-442-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2636-369-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2684-193-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2744-350-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2744-135-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2804-123-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2824-323-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2856-95-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2952-246-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3108-420-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3128-82-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3128-451-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3140-209-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3156-34-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3292-522-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3296-207-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3336-348-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3348-544-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3352-338-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3372-431-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3520-290-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3616-124-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3648-507-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3716-165-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3724-180-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3792-371-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3796-289-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3840-472-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3880-486-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3984-50-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3992-303-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4044-272-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4064-499-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4104-419-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4196-360-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4240-376-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4284-373-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4296-440-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4312-261-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4344-30-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4420-178-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4432-248-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4476-358-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4500-222-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4504-108-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4512-138-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4536-326-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4544-233-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4584-488-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4588-274-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4604-111-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4604-311-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4640-67-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4640-52-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4680-149-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4684-510-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4884-196-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4884-396-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4924-79-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4972-336-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5068-475-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5076-382-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5096-533-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads